La práctica de ofrecer recompensas monetarias y reconocimiento a quienes encuentren vulnerabilidades en sistemas, sitios y redes ya es común en el ámbito de la seguridad. Afortunadamente, cada vez más compañías deciden crear sus propios programas de bug bounty abiertos a la comunidad, con el objetivo de contar con refuerzos a la hora de detectar y corregir fallas que puedan poner en peligro la seguridad o privacidad de los usuarios.
Hay muchos motivos por los cuales estas iniciativas son necesarias. En primer lugar, el software es inevitablemente vulnerable y ni siquiera los mejores ingenieros son capaces de crear herramientas o plataformas en línea que estén libres de fallas; además, alentando y premiando el trabajo de los investigadores se legitima su esfuerzo, al tiempo que, en algunos casos, los mismísimos cibercriminales que crean, comercializan o se aprovechan de exploits cambian de planes y deciden reportarlos, aunque más no sea para obtener el dinero de la recompensa.
Por otro lado, se crea un nuevo modelo de negocio de la mano de proveedores de plataformas de bug bounty, diseñadas para aquellas compañías que no cuentan con los recursos necesarios para gestionar su propio programa. También se crea una nueva forma de trabajo para aquellos investigadores que prefieren ser freelance y dedicarse a reportar fallas de manera particular, aunque tranquilamente podrían recibir ofertas por parte de las empresas con las que colaboraron.
Teniendo en cuenta todo esto, celebramos la existencia de estas iniciativas y que cada vez sean más las opciones para sus participantes. A continuación reunimos cinco programas de bug bounty con atractivas recompensas que podrías considerar.
1. Google Vulnerability Rewards Program
La semana pasada Google anunció que aumentaría los montos de las recompensas que ofrece a investigadores. A partir del 6 de marzo, el premio para fallas de ejecución remota de código que sean confirmada pasa 20 mil a 31.337 dólares, mientras que para los casos de acceso no autorizado a sistemas de archivos o bases de datos pasa de 10 mil a 13.337 dólares.
"Como las vulnerabilidades más severas se volvieron más difíciles de identificar con el correr de los años, los investigadores han necesitado más tiempo para encontrarlas. Queremos demostrar nuestra apreciación a la significativa cantidad de tiempo que los investigadores dedican a nuestro programa, y por eso estamos haciendo algunos cambios en nuestro Vulnerability Rewards Program", escribió Josh Armour, Security Program Manager, en el blog de Google.
2. Microsoft Online Services Bug Bounty program
A partir del 1 de marzo de 2017 y hasta el 1 de mayo, las vulnerabilidades reportadas en Microsoft Office 365 Portal y Microsoft Exchange Online serán elegibles para recompensas dobles. Esto significa que podrán cobarse hasta 30 mil dólares por cada una durante este período.
Los dominios participantes son:
- portal.office.com
- outlook.office365.com
- outlook.office.com
- *.outlook.com
- outlook.com
Si quieres más información, accede al sitio oficial. Y si estas plataformas no son de tu interés, recuerda que Microsoft también ofrece hasta 100.000 dólares por cada vulnerabilidad hallada en Windows 10, como parte de sus otros programas llamados Mitigation Bypass y Bounty for Defense.
3. Facebook
La recompensa mínima es de 500 dólares y no hay máxima estipulada, ya que "cada bug se premia en base a su severidad y creatividad", dice la compañía.
Es importante señalar que este programa abarca todas las plataformas propiedad de Facebook, incluyendo WhatsApp e Instagram.
Hasta ahora, el récord está en manos de Reginaldo Silva, de Brasil, quien recibió poco más de 30 mil dólares en 2013 tras descubrir una falla en el código utilizado para el sistema de autenticación OpenID, que le permite a las personas utilizar las mismas credenciales de acceso para varios servicios online. Silva descubrió que la vulnerabilidad podía ser ejecutada desde una computadora remota, lo cual podría haberle permitido a un atacante leer casi cualquier archivo y abrir conexiones de red de manera arbitraria en un servidor de Facebook.
4. 1Password de AgileBits
AgileBits, la compañía responsable del gestor de contraseñas 1Password, decidió elevar el monto máximo de recompensa luego de que se descubrieran serias vulnerabilidades en su software y otros programas que cumplen la misma funcionalidad, las cuales podrían haber permitido a atacantes obtener datos de los usuarios.
Según su perfil en Bugcrowd, la plataforma desde donde se gestiona su programa de bug bounty, AgileBits ofrece desde 100 hasta 5.000 dólares por hallazgo, aunque hay un único desafío que otorga una recompensa de cien mil dólares: capturar el flag sin cifrar de "bad poetry" que 1Password almacena con recelo.
5. Yahoo
Siempre a discreción de lo que la compañía considere suficiente, y según su severidad, las recompensas por los bugs hallados serán determinadas por el equipo de seguridad de Yahoo. "Podrían ir desde artículos con la marca Yahoo hasta recompensas monetarias de hasta 15 mil dólares", explica su perfil en HackerOne.
6. Yelp
Los "exploits más impactantes" recibirán hasta 15 mil dólares, y el mínimo reconocimiento es de 100, según explicó la compañía. Para facilitar la tarea de los investigadores, Yelp puso a disposición un mapa pensado para conocer en detalle la infraestructura y los componentes a explorar.
7. Uber
También gestionado desde HackerOne, este programa ofrece un máximo de 10 mil dólares. Al igual que Yelp, Uber armó una guía que explica cómo encontrar las distintas clases de bugs en la plataforma.
"Incluso con un equipo de expertos en seguridad altamente calificados y bien entrenados, necesitas estar constantemente buscando formas de mejorar. Este programa de recompensas ayudará a asegurarnos de que nuestro código es tan seguro como sea posible", dijo Joe Sullivan, Chief Security Officer de Uber.
Bonus track: United Airlines, si lo tuyo es viajar
La compañía aérea ofrece millas en vez de dinero, y el máximo es un millón, como Jordan Wiens puede confirmar. Él ganó este premio por reportar una vulnerabilidad de severidad alta que permitía la ejecución remota de código.
La lista podría seguir y seguir, y cada vez se expande más el universo de posibilidades para quienes elijan este camino. El espectro es amplio y no todas las propuestas ofrecen miles y miles; por ejemplo, hace poco Rockstar Games, creadora de videojuegos como Grand Theft Auto y Red Dead Redemption, abrió su propio programa que comenzó con un mínimo de 150 dólares y un máximo indefinido; pero esto no quita que sea una buena forma de empezar. El primer paso está dado.
Según crecieron 210% en base anual desde enero de 2013, lo cual nos indica que vamos por buen camino.
los programas de recompensasY tú, ¿qué otras iniciativas conoces?
Sigue leyendo: ¿Cómo reportar una vulnerabilidad?