Saltar al contenido principal

Programas de bug bounty - Descubrimiento colaborativo de vulnerabilidades

Lectura de 2 min aprox.

Un programa de recompensas por errores (bug bounty) es aquel en el que una empresa invita públicamente a investigadores de seguridad externos a descubrir e informar vulnerabilidades en sus sistemas, pagando recompensas por los informes válidos. Netscape lanzó el primer programa oficial en 1995 y, hoy en día, miles de empresas, entre ellas Google, Microsoft y Apple, lo han adoptado. Solo en 2024, Google pagó alrededor de 12 millones de dólares en recompensas, estableciendo un nuevo récord.

Casos de uso reales

«A los tres meses de lanzar nuestro programa de recompensas por errores, recibimos el informe de una vulnerabilidad de elusión de autenticación por parte de un investigador externo. Era un patrón que nuestras pruebas de penetración internas no habían detectado; pagamos una recompensa de 500.000 yenes y publicamos un parche de corrección en menos de 48 horas.»

Antecedentes históricos

El concepto de las recompensas por errores se difundió rápidamente a finales de la década de 2000 con la aparición de plataformas como HackerOne y Bugcrowd. Tradicionalmente, el enfoque predominante era encargar pruebas de penetración a empresas especializadas, pero las recompensas por errores destacan por su capacidad de aprovechar las diversas perspectivas de investigadores de todo el mundo. Cuando el Departamento de Defensa de EE. UU. ejecutó el programa «Hack the Pentagon» en 2016, la práctica se extendió también a los organismos gubernamentales.libros de introducción a las recompensas por errores (Amazon) permiten estudiarlo de forma sistemática.

Puntos clave para las empresas que lo adoptan

Para que un programa de recompensas por errores tenga éxito, son esenciales una definición clara del alcance (sistemas objetivo), el diseño de una tabla de recompensas y una estructura de triaje para los informes. Fije recompensas altas para las vulnerabilidades graves que justificarían un número CVE a fin de mantener motivados a los investigadores. Los fallos habituales incluyen respuestas lentas a los informes, una gestión poco clara de los informes duplicados y retrasos en el pago de las recompensas. Proteja las cuentas administrativas de su plataforma de recompensas por errores con contraseñas aleatorias robustas para evitar la filtración del contenido de los informes.libros sobre gestión de vulnerabilidades (Amazon) también son referencias útiles.

Términos relacionados

¿Te resultó útil este artículo?

XHatena