Bug Bounty, el mundo del Hacking Ético
Un programa de Bug Bounty es un “contrato” que una empresa u organización hace con una comunidad de hackers éticos con el fin de que éstos detecten vulnerabilidades en los sistemas y redes de dicha empresa.
Un hacker ético es una persona que usa sus conocimientos avanzados en informática para hacer el bien.
Dicho de otra manera, un programa de recompensas de errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software. Por el cual las personas pueden recibir reconocimiento y compensación por informar errores, especialmente aquellos relacionados con vulnerabilidades y vulnerabilidades de seguridad. Deben lograr encontrar fallos y vulnerabilidades en las diferentes soluciones de software, hardware, página web etc.
Los programas de Bug Bounty son cada vez más desafiantes, a la vez que atractivos en cuanto a la recompensa que proponen. Actualmente, prácticamente todas las compañías importantes del mundo de la tecnología, tienen al menos un programa Bug Bounty para cualquiera que esté interesado en participar.
Los requisitos que deben cumplir son: demostrar la vulnerabilidad, explotarla, documentarla, y no difundirla hasta que esté solucionado por completo. Cumpliendo todos los requisitos tendremos derecho a una recompensa. En la mayoría de los casos, las recompensas son de carácter monetario. Son cantidades de dinero elevadas que motivan mucho a los desarrolladores, hackers éticos o a cualquier persona que tenga las aptitudes necesarias. El pago medio para vulnerabilidades críticas en 2018 fue de 3.384 dólares.
Google anunció un programa de Bug Bounty para sus teléfonos Pixel. En el cual ofrecía hasta 1.5 millones de dólares para quienes encontraran vulnerabilidades críticas. De todas formas, cuando nos iniciamos en esta actividad, no debemos esperar que nuestras ganancias se acerquen a estas cifras de dinero. Estas recompensas se consiguen en un largo plazo, el hacking ético requiere de un proceso evolutivo.
Consejos para iniciarse en el Bug Bounty
- Adecuarse a las reglas y consideraciones para cada programa. Al contrario, si realizamos alguna actividad que se encuentre al margen de la ley, podemos tener problemas nacionales e internacionales.
Dispositivos adecuados. Necesitamos un ordenador de escritorio o móvil, con buena conexión a Internet y el tiempo necesario para comprobar en detalle las vulnerabilidades en los diferentes escenarios.
• Seguir informándonos. No nos vale con los conocimientos que ya tengamos, si no que debemos seguir formándonos, de esta manera podremos optar por programas cada vez más atractivos en cuanto a la problemática y la recompensa.
• Empezar poco a poco. Si no tienemos experiencia previa, es mejor comenzar con un solo tipo de vulnerabilidad, y luego comenzar a incorporar nuevas habilidades.
• No pensar solo en el dinero. Lo más probable es que en un principio no sea posible ganar dinero, o este sea mínimo. Si solo tienes esto en mente, puede que pases por alto ciertos detalles importantes y que no te tomes el tiempo necesario para hacer las cosas de la mejor forma.
• Hacer reportes claros. Mucha importancia en la elaboración de informes claros que indiquen paso por paso cómo se puede reproducir la vulnerabilidad, y que expliquen el uso que un atacante podría darle a la misma.
• Tomarse el tiempo necesario. Si has descubierto una vulnerabilidad, es recomendable que dediques el tiempo necesario para intentar ver todos los caminos que la misma abre para un atacante.
• Tomar la ruta menos usada. Si somos principiantes en el mundo del bug bounty es muy poco probable que encontremos vulnerabilidades en aplicaciones de empresas muy grandes e importantes, que seguramente ya han sido sometidas a la auditoría de muchos otros cazadores de bugs. Es recomendable evitar frustraciones y empezar por donde otros quizás no hayan mirado todavía.
• Estudia y práctica. La única forma de progresar en el mundo del Bug Bounty es dedicando tiempo. Es necesario practicar, leer reportes que hayan elaborado otras personas y estudiar las distintas metodologías.