¿Qué es el Bug Bounty y qué papel juegan los hackers éticos?

El bug bounty permite a las empresas, aprovechar los conocimientos de la comunidad de hackers éticos, para mejorar la seguridad de sus sistemas. Los pagos que estos reciben varían según la gravedad del problema detectado y pueden oscilar desde unos pocos miles de euros, hasta millones, según la empresa y el impacto potencial del error encontrado. En esta entrada vamos a conocer algo más sobre esta disciplina vital para las empresas y el papel que juegan los hackers éticos.

El Bug Bounty, es un programa de recompensas por encontrar errores. Es un acuerdo ofrecido por muchas empresas con presencia en Internet, sitios web, organizaciones y desarrolladores de software, mediante el cual las personas que detectan los posibles errores, reciben reconocimiento y compensación por informar de errores (bugs), especialmente los relacionados con la ciberseguridad y explotación de vulnerabilidades.

Estos programas permiten a los desarrolladores descubrir y resolver errores antes de que el público en general los conozca o lleguen a afectarles, evitando incidentes de seguridad y violaciones de datos. Los programas de recompensas de errores ya han sido implementados por un gran número de organizaciones, desde Mozilla, pasando por Facebook, hasta Google, Reddit o Microsoft, por comentar algunas de las más conocidas. Pero, son muchas más empresas, las que recurren a este programa de recompensas, para poder subsanar vulnerabilidades antes de que lleguen a afectar al usuario.

Empresas fuera de la industria tecnológica, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos, han comenzado a usar estos programas de recompensas por encontrar errores para mejorar su seguridad.

Gracias a estos programas, en lugar de depender únicamente de los equipos de seguridad internos, las organizaciones abren sus sistemas a una amplia comunidad de personas que se dedican a ello de forma profesional, incluso algunos lo hacen por afición.

Una vez que se descubre una vulnerabilidad, los hackers éticos informan a la organización o plataforma de recompensas por errores, siguiendo las pautas del programa para la divulgación responsable. Esto supone proporcionar información detallada sobre:

• La vulnerabilidad encontrada.
• El potencial impacto.
• Pasos para reproducir el problema y solventarlo.

Además, se llegan a realizar competiciones a nivel mundial, como el Ambassadors World Cup, que conecta a grandes multinacionales con estos expertos, para poner a prueba sus sistemas y a la vez convertirlo en una competición donde cada país, representado por un equipo, al más puro estilo de un Mundial de fútbol, trata de encontrar la máxima cantidad de vulnerabilidades posibles para hacerse con la copa y de paso una recompensa económica.

Hay que destacar que la ronda final de la Copa Mundial de Embajadores 2023 fue un éxito inmenso, edición que por cierto, ganó el equipo español derrotando a los equipos de Israel, Nepal y Francia.

¿Y cómo funciona un programa Bug Bounty?

Estos programas de bug bounty, generalmente funcionan mediante la publicación de una lista de sistemas o aplicaciones que se exponen para pruebas de seguridad, junto con las reglas, directrices y recompensas ofrecidas por cada fallo reportado.

Los investigadores externos, examinan estos sistemas en busca de posibles vulnerabilidades y si encuentran alguna, pueden reportarlas a la organización a través de un proceso establecido.

Una vez se recibe un informe de vulnerabilidad, el equipo de seguridad de la organización evalúa la existencia y gravedad del problema, para luego trabajar en corregirlo. Dependiendo de la política de recompensas del programa, los investigadores que reportaron la vulnerabilidad pueden recibir una recompensa monetaria, reconocimiento público, o ambas cosas por lo general.

Ello no significa que se hayan encontrado vulnerabilidades, incluso por parte de investigadores que han actuado por su cuenta y que con el paso del tiempo aún no se han subsanado por parte de la empresa desarrolladora, pero eso ya forma parte de la ética empresarial y su respeto hacia la información del usuario.

Ejemplos de grandes errores reportados y su recompensa

En noviembre de 2010, Alphabet, la empresa matriz de Google, comenzó a operar con el programa de recompensas por vulnerabilidad (VRP). Su objetivo, incentivar la investigación de seguridad para identificar y reportar vulnerabilidades encontradas en los productos y servicios de Google, así como en otras como YouTube, Android o Google Cloud.

Además de ofrecer recompensas económicas, Google mantiene un «Salón de la Fama» público, como reconocimiento a los investigadores de seguridad que han contribuido al VRP con hallazgos clave. En el año 2022, Google anunció la mayor recompensa jamás otorgada hasta entonces, 605.000 dólares, por encontrar una importante falla de seguridad no revelada.

También Meta, antes conocida como Facebook, cuenta con su propio programa. Desde su lanzamiento en el año 2011, ha recompensado ya con más de 16 millones de dólares por vulnerabilidades encontradas. Sólo en 2022, concedió más de 2 millones de dólares a investigadores de seguridad en más de 45 países.

HackerOne es una empresa especializada en ciberseguridad, específicamente en la gestión de resistencia a ataques, que combina la experiencia en seguridad de los hackers éticos con el descubrimiento de activos, la evaluación continua, y mejora del proceso para encontrar y cerrar brechas en la superficie de ataque digital. 

Fue una de las primeras compañías en utilizar la ciberseguridad y sus investigadores, como ejes de su modelo de negocio, pioneros en Bug Bounty y coordinando el hallazgo de vulnerabilidades con la divulgación. En diciembre de 2022, la red de HackerOne había pagado más de 230 millones de dólares en recompensas.

HackerOne cuenta con clientela en los Estados Unidos, como el Departamento de Defensa, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Lufthansa, Microsoft, MINDEF Singapur, Nintendo, PayPal, Slack, Twitter y Yahoo, entre otras.

También el gobierno de los Estados Unidos, cuenta con sus programas propios. En el año 2016, el Departamento de Defensa lanzó «Hack the Pentagon«, programa que involucra a cientos de investigadores de seguridad de todo el mundo para identificar y reportar vulnerabilidades en los sistemas del Departamento de Defensa.

El importante papel del hacker ético en la ciberseguridad

No nos cansaremos de repetir las enormes diferencias existentes entre un hacker ético y un ciberdelincuente, algo que la sociedad en general, aún no acaba de saber diferenciar.

El hacker ético, en primer lugar, se debe a un código de conducta y el pentesting (pruebas de penetración) y otros métodos usados, forman parte de su metodología de trabajo, para poder encontrar una vulnerabilidad con el fin de que sea corregida.

El ciberdelincuente, sin seguir código de ética alguno, utiliza sus conocimientos para conseguir un beneficio económico y reconocimiento, de forma ilícita y cometiendo diversos delitos para ello.

A través de las diversas plataformas, las empresas interesadas en auditar sus servicios contactan con hackers éticos de cualquier lugar del planeta, dispuestos a poner a prueba la seguridad de sus servicios. Cualquiera puede inscribirse y participar en los programas de Bug Bounty, bien sea como hobby o como una actividad lucrativa y profesional. Las empresas cuando abren sus programas detallan el alcance del mismo y fijan distintas recompensas para quienes encuentren vulnerabilidades, dependiendo generalmente de la gravedad de las mismas.

Los programas de bug bounty permiten a cualquier persona, con o sin conocimientos técnicos previos, aumentar su nivel de experiencia en hacking ético. Además, permite a profesionales de otros campos obtener una perspectiva diferente sobre problemas que pueden afectar a las aplicaciones o sistemas, desde un marco práctico.

Quienes están interesados (por supuesto, también hay excelentes hackers éticas féminas), deberían tener en cuenta una serie de consejos como:

• Empezar con poco: si no se tiene experiencia previa, quizás sea una muy buena idea comenzar con un sólo tipo de vulnerabilidad, como por ejemplo, XSS, para luego comenzar a incorporar nuevas habilidades. Encontrar primero una vulnerabilidad que realmente divierta e interese, es importante.
• No pensar sólo en el dinero: lo más probable es que en un principio no sea posible ganar dinero. Si sólo se tiene esto en mente, puede que pasemos por alto ciertos detalles importantes y que no nos tomemos el tiempo necesario para hacer las cosas de la mejor forma. Lo ideal es poder dedicar tiempo suficiente para aprender y disfrutar con esta actividad.
• Hacer reportes claros: si hemos descubierto una vulnerabilidad, es importante que sepamos reportarla de forma eficiente. Algo en lo que las personas de ambos lados coinciden (bug hunters y empresas), es acerca de la importancia de la elaboración de unos informes claros que indiquen paso a paso cómo se puede reproducir la vulnerabilidad y expliquen el uso que un atacante podría darle a la misma, ya que dicha información influye en que los hallazgos sean tenidos en cuenta.
• Tomarse tiempo para ir a fondo: si se ha descubierto una vulnerabilidad, es recomendable dedicar el tiempo necesario para intentar ver todos los caminos que la misma abre para un atacante. Por ejemplo, si la vulnerabilidad fue introducida por un equipo de desarrollo de una determinada empresa, es posible que se repita en otros sitios. Investigar todas las posibilidades aumenta las posibilidades de éxito a la hora de convencer a la empresa de que lo que hemos encontrado es serio.
• Tomar la ruta menos usada: si estamos comenzando en el mundo del bug bounty es poco probable que encontremos vulnerabilidades en aplicaciones de empresas muy grandes, que seguramente ya han pasado por varias etapas de pentesting y que ya han sido sometidas a la auditoría de muchos otros cazadores de bugs. Es recomendable evitar frustraciones y empezar por donde otros quizás no hayan mirado todavía.
• Estudiar y practicar: la mejor forma de progresar en el mundo del Bug Bounty es dedicándole tiempo. Es necesario practicar, leer reportes que hayan elaborado otras personas y estudiar las distintas metodologías. Hay mucha gente en la comunidad que está dispuesta a compartir lo que sabe y eso es algo que definitivamente deberíamos aprovechar. Según uno de los reportes de HackerOne, el 81% de los cazadores que participan de estos programas dijo haber aprendido por cuenta propia a través de Internet, mientras que apenas el 6% dijo haber realizado un curso formal.

Y es que, aunque parezca mentira y dejando a un lado la «titulitis», sin la cual en muchos países es difícil meter la cabeza en un sector profesional como este, existen muy buenos y exitosos bug hunters, que en su juventud comenzaron a estudiar sobre el tema y practicar, llegando hoy en día a tener un merecido prestigio y haber ganado bastante dinero. Si además de afición, invertimos tiempo en conseguir la titulación correspondiente, tendremos mayor posibilidad de que ciertas puertas se abran a nuestro paso, si deseamos dedicarnos a este apasionante mundo.

Realizar bug bounties puede ser una experiencia de aprendizaje muy importante. Ver vulnerabilidades en aplicaciones reales nos dará una idea de cuáles son los errores comunes que los desarrolladores de software cometen. Nos obligará a aprender nuevas técnicas con las que quizá nunca habíamos tenido que lidiar antes, expandiendo nuestra base de conocimiento. Si nos dedicamos al Pentesting, nos dará una nueva perspectiva que será útil para nuestro trabajo.

Algunos sitios y recursos recomendados para aprender sobre hacking ético

En cuanto a sitios, podemos probar con:

• Hacker 101: plataforma de HackerOne que ofrece recursos educativos 100% gratuitos. Muy recomendable.
• Hacksplaining: proyecto que ofrece entrenamientos de seguridad dirigidos a desarrolladores.
• Hack This Site!: iniciativa que ofrece un campo de entrenamiento para que los usuarios puedan probar y explorar sus habilidades.

Algunos libros recomendables, aunque hay muchos más y bastante buenos:

• OWASP Testing Guide – OWASP Foundation
• The Web Application Hackers Handbook – Dafydd Stuttard & Marcus Pinto
• Mastering Modern Web Penetration Testing – Prakhar Prasad

Además, aquí van algunos enlaces a artículos publicados en WeLiveSecurity en los que encontrar recursos útiles y de interés.

• 10 recursos para convertirte en un gran hacker ético
• Recursos en español para aprender sobre seguridad informática
• ¿Por dónde empezar a aprender seguridad informática?
• Bugcrowd University: plataforma educativa gratuita para investigadores en seguridad
• Cursos online gratuitos de seguridad informática

Como último consejo, es muy recomendable ponerse las pilas con el inglés (el idioma más usado en el mundo de la ciberseguridad) y para no ponernos límites, ya que multitud del material didáctico, herramientas, cursos, etc., los vamos a encontrar en este idioma. Por lo tanto, nos guste más o menos, debemos tenerlo presente, para evitar sorpresas o frustración.

CONCLUSIÓN

En resumen, los programas de Bug Bounty y el papel de los hackers éticos son fundamentales en el panorama actual de la ciberseguridad. Dichos programas incentivan a los hackers éticos a utilizar sus habilidades para mejorar la seguridad, en lugar de comprometerla.

Los hackers éticos, a través de su participación en los programas de Bug Bounty, aportan un valor incalculable a las organizaciones y al mundo digital en general. Su trabajo ayuda a identificar y corregir vulnerabilidades, antes de que puedan ser explotadas por actores malintencionados.

Además, estos programas representan una gran oportunidad para los hackers éticos para demostrar sus habilidades, aprender, crecer profesionalmente y ser recompensados por su esfuerzo y trabajo. Esto no sólo beneficia a las organizaciones, sino que también fomenta una comunidad de seguridad cibernética más fuerte y colaborativa.

Por lo tanto, es esencial que continuemos apoyando y expandiendo los programas de Bug Bounty, reconociendo el papel crucial que desempeñan los hackers éticos en la protección de nuestro mundo digital. A medida que avanzamos hacia un futuro cada vez más conectado, la necesidad de una seguridad cibernética sólida y proactiva sólo aumentará, y los hackers éticos serán una parte integral de esa ecuación.