¿Cómo puedo participar en un Bug Bounty? ¿Merecen la pena las recompensas?

¿Cómo puedo participar en un Bug Bounty? ¿Merecen la pena las recompensas?

Lorena Fernández

El concepto del cazador de recompensas no deja de estar vigente. En el ámbito del desarrollo de software y seguridad de la información/ciberseguridad, los programas de tipo Bug Bounty son cada vez más desafiantes, y también son cada vez más atractivos en cuanto a la recompensa que proponen. Incluso las compañías más importantes del mundo de la tecnología, tienen al menos un programa Bug Bounty para cualquiera que esté interesado en participar.

¿Qué es un Bug Bounty?

Es un programa dentro de las compañías que tiene como propósito premiar a aquellas personas que logren encontrar fallos y vulnerabilidades en las diferentes soluciones de software, hardware, página web etc. Lógicamente deberemos cumplir una serie de requisitos, como demostrar la vulnerabilidad, explotarla, documentarla, y no difundirla hasta que esté solucionado por completo. Cumpliendo todos los requisitos tendremos derecho a una recompensa.

En la mayoría de los casos, las recompensas son de carácter monetario. Las mismas acostumbran a superar los miles (hasta millones) de dólares. Estas cantidades de dinero motivan mucho a los desarrolladores, hackers éticos o a cualquier persona que tenga las aptitudes necesarias. Sin embargo, estos programas se regulan bajo una serie de reglas y consideraciones para poder aplicar.

Existen plataformas de Bug Bounty que contienen en ellas, a su vez, más de un programa. Esto varía de acuerdo a la cantidad de soluciones ofrecidas por cada compañía o bien, de acuerdo a la clase de fallos y vulnerabilidades que se desean encontrar.

¿Qué debo tener en cuenta para poder participar?

Lo más importante es adecuarse a las reglas y consideraciones para cada programa. No debemos realizar nada que esté al margen de la ley pues podríamos tener inconvenientes tanto a nivel nacional como internacional.

No está demás enfatizar que necesitas un ordenador de escritorio o móvil, una buena conexión a Internet y el tiempo necesario para comprobar en detalle las vulnerabilidades en los diferentes escenarios (programas, páginas web, firmware de routers etc.) Dos atributos importantes son la curiosidad y la paciencia, ya que son necesarias a la hora de tener éxito en cada uno de los programas.

No solamente debes valerte de tus conocimientos actuales, utiliza estas circunstancias como una excusa para poder aprender más y así, apuntar a programas cada vez más atractivos en cuanto a la problemática y la recompensa. Lograr entrenarse es completamente gratis y tan solo necesitas de realizar un par de búsquedas en Google.

Por otro lado, hay que saber manejar nuestras expectativas acerca de las recompensas que podríamos recibir. Recuerda que no todos los Bug Bounties poseen recompensas de miles de dólares, si no también existen las recompensas pequeñas por encontrar problemas pequeños. Lo ideal es empezar con éstos para ir ganando experiencia para apuntar a mayores recompensas.

No olvidemos que las recompensas más jugosas se deben a la complejidad de la vulnerabilidad. Aquella persona que haya logrado encontrarla y ponerla en evidencia, está bastante preparada y tiene el conocimiento adecuado para ello. No es algo que se da como por arte de magia.

Recomendaciones de plataformas populares de Bug Bounty

HackerOne

No sólo se presenta como una plataforma dedicada al ofrecimiento de programas de recompensas. Más bien, se presenta como un completo modelo de negocio orientado a toda compañía que desee poner a prueba las vulnerabilidades y fallos de sus sistemas en general. Además de los programas de recompensas, ofrece soluciones de pentesting, gestión de vulnerabilidades y mucho más.

Haciendo énfasis en los Bug Bounties, cuentan con un procedimiento muy bien estructurado que se puede reducir a cuatro pasos:

  1. Búsqueda de la vulnerabilidad (Hacker).
  2. Entrega de la evidencia a la organización (Hacker).
  3. Comunicación y validación de lo entregado con el hacker (HackerOne).
  4. La organización recibe documentación de alta calidad y detalle sobre lo encontrado (HackerOne y Hacker responsable).

O bien, se puede optar por un modelo de trabajo en donde una organización puede tomar control completo del programa de recompensas y funciona de esta manera:

  1. Búsqueda de la vulnerabilidad (Hacker).
  2. Entrega de la evidencia a la organización (Hacker).
  3. Trabajo en conjunto para juntar la mayor cantidad de información posible (Empresa y Hacker).
  4. Validación de toda la documentación sobre las vulnerabilidades halladas (seguridad informática de la Empresa).
  5. Implementación de las soluciones a las vulnerabilidades (seguridad informática de la empresa).

Cualquiera sea la modalidad en la que te envuelvas, en HackerOne podrás encontrar todos recursos necesarios para poder empezar a hackear. No solamente podrás prepararte para la actividad, si no que podrás a acceder a varios eventos en vivo relacionados y el acceso a una tabla de posiciones que se actualiza constantemente. Puedes acceder con este enlace: HackerOne

BugCrowd

Así como la plataforma anterior, éste es un amplio modelo de negocio donde están incluidos los programas de recompensas. Sin necesidad de estar registrado en el portal, puedes acceder al listado de los programas vigentes y las recompensas que éstas ofrecen, que van desde puntos hasta dinero. Cuando hablamos de puntos, te darán cierta cantidad de puntos considerando las vulnerabilidades encontradas y la complejidad de cada una.

Puedes toparte con programas que incluyen fallos y vulnerabilidades de grandes compañías como MasterCard, Digital Ocean y Pinterest. A diferencia de HackerOne, esta plataforma tiene una orientación mucho más centralizada a la propia organización que los programas de recompensa en sí. Ya que ofrecen otros servicios relacionados a la seguridad informática como Pentesting. Puedes acceder con este enlace: BugCrowd

AntiHACK.me

Es una compañía de ciberseguridad que ofrece una asistencia detallada para que puedas armar tu propio Bug Bounty de acuerdo a la necesidad que tú o tu compañía tiene. Desde el paso de indicar a los hackers acerca de tus necesidades hasta el momento de verificar si el programa fue exitoso. Este es un punto diferencial en relación a otros portales, ya que promueve la creación de cada vez más Bug Bounties por parte de organizaciones no tan grandes e incluso individuos, motivando a los desarrolladores y hackers especialmente a poder mejorar cada vez más los productos y servicios disponibles en el mercado.

Por supuesto, cuentan con la guía de cómo empezar a hackear para la compañía. Y se encuentra disponible la tabla de posiciones para tener seguimiento constante de quienes son los líderes y motivarte cada vez más. Puedes acceder con este enlace: AntiHACK.me

Si eres entusiasta del hacking y quieres recompensar tus aptitudes, te recomendamos comenzar a aplicar a estos programas. Éstos no solo tienen valor por el dinero que pueden llegar a ofrecer, sino que también contribuyen a tu crecimiento y tu reputación como profesional. ¡Anímate! Cuentas con todo lo necesario para poder empezar con confianza.