7 consejos básicos de ciberseguridad para pequeñas empresas

Las pequeñas empresas y los trabajadores por cuenta propia son grandes objetivos para los piratas informáticos, y las consecuencias económicas pueden ser considerables.
Atrás han quedado los días de pensar "nunca nos pasará a nosotros". No sólo han aumentado los hackeos con frecuencia, sino que el impacto en las PYMES es cada vez más importante.


¿Pero por dónde empiezas? Muchas PYMES sienten que ser tan seguras como un gran negocio es imposible.

"Las corporaciones tienen grandes presupuestos, jefes de seguridad y equipos completos dedicados a la ciberseguridad".

Esta percepción deriva de la impresión de que los hackeos son muy complicados, y dependen de una tropa incansable de atacantes altamente cualificados.
La mayoría de hackeos no son así. La mayoría se apoyan en la falta de conocimiento sobre lo que se necesita para comprometer tus sistemas: un simple correo electrónico de phishing o una contraseña filtrada y nada más. Es así de simple.





Educarte en esta materia y compartir el conocimiento con el personal es la única solución.

1. Obtén una contraseña segura

Un 80% de las infracciones se deben a contraseñas robadas y/o contraseñas débiles.

Obtener una contraseña segura es el mínimo necesario. Esto es más fácil de lo que piensas.
Muchos no saben que puede usar espacios en sus contraseñas, por ejemplo: "mesa de caballo" es una contraseña mucho mejor que "caballo123".

2. Haz que tu contraseña sea única

Tener una sola contraseña fuerte no cuenta si esa contraseña se filtra.

Compañías fiables como LinkedIn y Yahoo han perdido millones de contraseñas en los últimos años, lo que abre la puerta a ataques cibernéticos de gran alcance.

Los gestores de contraseñas como LastPass y 1Password te ayudan a generar y mantener un registro de contraseñas únicas y fuertes.

3. Saber detectar el phishing

Los ciberdelincuentes están enviando constantemente correos electrónicos de "phishing", intentando que hagas clic en su sitio web para instalar malware o convencerte de darles tu contraseña.

Entender lo que un pirata informático está tratando de hacer y qué busca es clave.

La mala sintaxis, la ortografía incorrecta o las direcciones de correo electrónico y los vínculos que incluyen un montón de paradas completas (por ejemplo, amazon.getcode.tickets.phishingattack.com) son signos claves de advertencia a tener en cuenta.

4. Entiende la información que ya estás dando

Los ataques de phishing dependen de la cantidad de información que compartimos acerca de nosotros mismos en línea.

Los infractores detrás del robo de datos de iCloud de celebridades en 2014 utilizaron la información adquirida a través de los mensajes públicos que dieron las figuras para adivinar las respuestas a las preguntas secretas del usuario.

Si tu pregunta secreta es "La ciudad en la que yo nací" y publicas esa información en Facebook, los ciberdelincuentes tienen una forma fácil de ingresar a tu cuenta.

5. Presta atención a las URL de las páginas web

Cuando veas "http" en la url de una página web, significa que tu comunicación con esa página no está cifrada.
Cualquier comunicación podría ser fácilmente leída por un pirata informático esperando en esa página.

"Http" es un signo de advertencia a tener en cuenta si alguna vez piensas que podrías haber tropezado con un sitio web de phishing o generalmente sospechoso.

Si alguna vez ingresas información confidencial como números de tarjeta de crédito o datos personales, asegúrate de que el sitio web tenga "https" en la URL del sitio web. De esa manera, estarás más seguro.

6. Actualiza tu software

El software se actualiza por una razón. Por lo general, empresas como Microsoft o Apple descubren vulnerabilidades que podrían permitir entrar en sus sistemas, así que lo arreglan y luego ofrecen una actualización.

Con el ataque de WanaCry a principios de este año se vio lo que sucede cuando las organizaciones no instalan parches (actualizaciones que ponen los sistemas informáticos a la versión más actualizada) y actualizaciones de seguridad.

7. Cifrar todo

En caso de que ocurra una violación informática, por lo menos asegúrate de que cualquier información que quede expuesta a terceros sea difícil de entender.

Cifra tus discos duros y bases de datos con un algoritmo moderno como AES-256, esta es una herramienta defensiva determinante para proteger tus datos en caso de una violación.

El conocimiento es la clave de la seguridad cibernética, pero es importante pensar en la estructura subyacente de tu negocio y la forma en que manejas los datos de forma más amplia.
Los controles de toda la organización y las políticas de protección de datos ayudan a definir una defensa tecnológica sólida, y aseguran que sabes cómo responder en caso de incumplimiento.


* Artículo de Edith Gómez (colaboradora habitual) *

Edith Gómez

Editora en gananci.com

BIO

Edith Gómez es una apasionada del marketing digital, especializada en comunicación online.
Se niega a irse a la cama cada noche sin haber aprendido algo nuevo.
Le inquietan las ideas de negocio y, más aún, aportar una mirada creativa al pequeño mundo en el que vivimos.

Twitter: @edigomben
LinkedIn: edithgomezbenitez

Jose Maria Acuña Morgado - Desarrollador Web

Leer más

Reflexiones sobre el primer ciberataque masivo que ha paralizado el mundo

Mucho se ha hablado en los últimos días sobre lo ocurrido con el ciberataque intensivo a través de un virus del tipo ransomware conocido como "WannaCry" (Quiero llorar).
Unas 200 mil computadoras, sobre todo en Europa, fueron infectadas desde el viernes por el virus que explota una vulnerabilidad en los sistemas operativos Windows divulgada en los documentos robados a la NSA (Agencia de Seguridad Nacional de Estados Unidos).

Documentación que guardaba la Agencia de Seguridad Nacional para sus propios intereses y que fue sustraída y publicada por el grupo ruso Shadow Brokers. Wikileaks fue el principal altavoz de esta filtración. Los detalles técnicos hicieron posible que los cibercriminales, todavía no reconocidos, diseñaran el gusano informático que propagó el ransomware.

Edward Snowden hizo alusión al ciberataque: "Si la NSA hubiese comunicado el fallo de seguridad de forma privada cuando lo encontraron, y no cuando lo perdieron en la filtración, esto no habría sucedido".

"Los gobiernos del mundo deberían tratar este ataque como una llamada de atención", escribió en un blog el presidente y director jurídico de Microsoft, Brad Smith, sobre lo que se está definiendo como el mayor ataque de ransomware de todos los tiempos.

"Un escenario equivalente con armas convencionales sería que al ejército estadounidense le roben algunos de sus misiles Tomahawk", escribió Smith.

Smith argumentó que los gobiernos deberían aplicar en el ciberespacio reglas como las que rigen el mundo físico.
Y defendió que la protección ante estos ataques es una "responsabilidad compartida" entre consumidores, gobiernos y, en primera instancia, ellos.

Chema Alonso, responsable de Big Data e Innovación de Telefónica, una de las empresas más afectadas, explicó a través de su blog por qué no actualizaron a tiempo, pese a que el parche fue publicado y clasificado como "crítico" dos meses antes:

"La realidad es que en redes de empresas como las de Telefónica no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la prevención rápida".

shutterstock

Algunas consideraciones

El ataque ha estado muy bien diseñado y pensado, tanto desde el punto de vista económico como por el riesgo que supone para todos a nivel general. Alcanza dimensiones sin precedentes y exige una compleja investigación internacional para identificar a los culpables.

Vivimos en una era digital y todo está conectado a Internet (bancos, datos sensibles, como los vinculados a salud, biométricos, de geolocalización, entre otros, y los de niños, niñas y adolescentes ...) por lo que debemos asumir ciertos riesgos o amenazas. Podemos decir con total certeza que la delincuencia ya es digital.

Suscribo la opinión del Sr. Borja Adsuara Varela (experto en Derecho y Estrategia Digital) que dice literalmente:

"Estoy un poco harto de que a los usuarios se nos eche la culpa de los fallos que tienen los productos y servicios TIC, descargando en nosotros toda la responsabilidad de lo que pase y presuponiendo en nosotros unos conocimientos informáticos que no tenemos, cuando lo normal y razonable es pensar que compras productos o contratas servicios que son seguros.

Y no vale decir que no existe una seguridad al 100%, porque eso ya lo sabemos. Pero, donde no llega la seguridad tecnológica, llega la seguridad jurídica, que dice quién responde si hay un "fallo de fábrica" de la primera (no un mal uso). Cuando se descubre un fallo en un vehículo, un electrodoméstico, un juguete, una medicina o un alimento, se retira del mercado y/o se arregla, siempre con cargo al fabricante.

Echo de menos una mayor vigilancia de las autoridades públicas y las asociaciones privadas sobre la seguridad de los productos y servicios digitales. No "a posteriori", porque a toro pasado todos somos muy listos, sino "a priori". ¿Se imaginan que se permitiera comercializar (y circular) automóviles con graves defectos de seguridad, o electrodomésticos, juguetes, medicinas o alimentos, sin los oportunos controles?"

Artículo completo: Ramón-Ware y "el negro del Whatsapp"

¿cuáles son las necesidades en nuestro país?

Las empresas españolas, que reciben una media de cien ataques informáticos al año, un 33% de los cuales son efectivos, buscan 'hackers' para frenar los 'crackers', ha explicado la directora del Máster de Seguridad de las TIC de la Universitat Oberta de Catalunya, Helena Rifà, que ha señalado que en el 2025 las industrias necesitarán unos 825.000 profesionales de seguridad.

De hecho, la necesidad de los 825.000 especialistas en seguridad informática para el 2025 en España ya la adelantó María del Mar López, secretaria del Consejo Nacional de Ciberseguridad, durante la apertura del Programa de innovación en ciberseguridad de la Deusto Business School en noviembre de 2016.

"Más allá de los estereotipos que muestran las películas, un 'hacker' es una persona especializada en buscar agujeros de seguridad, un profesional de las redes y los sistemas que puede encajar perfectamente en la dinámica empresarial", ha afirmado Rifà.

Según la experta, "este es un perfil muy recomendable para asegurar que una empresa tiene sus activos lo más seguros posible".

Estos especialistas atacan el sistema para analizar si es vulnerable a 'exploits', es decir, si hay agujeros de seguridad, además de llevar a cabo análisis exhaustivos para intentar encontrar nuevas deficiencias.

"A diferencia del 'hacker', el 'cracker' es el que utiliza las vulnerabilidades para acceder, infectar y extraer información privada de sistemas externos malintencionadamente y a menudo ilegalmente", ha subrayado Rifà.

Los ataques que más realizan son los softwares maliciosos ('malware'), la suplantación de la identidad ('phishing') y los robots que controlan los ordenadores remotamente ('botnet').

En promedio, los 'crackers' alcanzan el éxito en uno de cada tres ataques al mes, según afirma el estudio de la consultora Accenture.

A escala global, más del 85% de las empresas analizadas estaban infectadas cada mes de alguna manera, según el Informe anual de seguridad de Cisco. Infraestructuras obsoletas y softwares sin actualizar lastran la capacidad de las corporaciones para dar respuesta a los ciberataques.

¿qué podemos hacer para minimizar los riesgos en nuestros equipos informáticos?

• Instala un antivirus adecuado y un firewall o cortafuegos.
• Utiliza contraseñas de alta seguridad: se recomienda que las contraseñas no contengan nombres completos, nombres reales o de tu empresa, así como números muy conocidos (número de teléfono o fecha de nacimiento).
• La web How Secure Is My Password? averigua la dificultad para descifrar tu contraseña por una computadora.
• Mantén actualizados el sistema operativo y los navegadores web de tu equipo.
• Realiza copias de seguridad periódicas de la información, principalmente la más sensible o importante de los dispositivos.
• Usa el "sentido común":
  
  1. no abrir ficheros, adjuntos o enlaces de correos electrónicos no fiables, ni contestar a este tipo de correos.
  2. precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.

¿qué antivirus debemos usar?

En la actualidad, existen infinidad de antivirus y debemos elegir la solución que mejor se adapte a nuestras necesidades.
Voy a hacer mención especial a Bitdefender por razones que expongo a continuación:

• Dispone de un laboratorio de pruebas, un servicio técnico y convenios con diferentes universidades y entidades públicas como la Universidad Oberta de Cataluña o el Centro de Alerta Antivirus.
• Posee múltiples certificaciones y premios internacionales: Bitdefender 2015 ha ganado cuatro premios de PC MAG y CNET, y obtuvo Editor’s Choice una crítica excelente de PC WORLD. El producto se desarrolla sobre una versión mejorada de Bitdefender 2014, la cual ganó el título de "Mejor Antivirus of 2014" y dos premios Editor’s Choice de PC MAG.
• Ofrece software contra las amenazas a más de 500 millones de usuarios domésticos y soluciones corporativas en más de 180 países.
  Tiene oficinas en Estados Unidos, Reino Unido, Alemania, España (ubicadas en Madrid, Barcelona, Vigo, Las Palmas de Gran Canaria, Valencia y Sevilla), Perú y Rumanía. Además, posee una red local de distribuidores en más de 200 países.
• Además de la protección antivirus habitual en este tipo de aplicaciones contra malware, spyware, ataques de phishing, etc., incluye un firewall, un gestor de contraseñas, control parental, un escáner para perfiles de Facebook (Safego) que bloquea posibles enlaces que podamos recibir a través de esta red social, una aplicación para borrado seguro de ficheros y, también, un navegador Web (Safepay) para acceder de forma segura a cualquier entidad bancaria que funciona en su propio escritorio sin interactuar con el resto del Sistema Operativo.
• La app Bitdefender Central está disponible ahora para iOS y Android (nuevo)
• Gestor de contraseñas y Destructor de archivos mejorados (nuevo)

Toda la información en:

Bitdefender Internet Security 2017

Tal vez te interese conocer otros artículos relacionados con la Ciberseguridad:

¿sabes cómo funciona un programa antivirus y cómo protegerte contra malwares?

Ciberseguridad: glosario de términos

¿sabías que Google paga recompensas por descubrir fallos de seguridad en sus productos?

Jose Maria Acuña Morgado - Desarrollador Web

Leer más

Ciberseguridad: glosario de términos

La ciberseguridad debe ser considerada como un proceso y no como una actividad aislada y diferenciada del resto de servicios o herramientas informáticas. Podemos decir que la seguridad es una cualidad más, que como la salud en el caso de las personas, hay que cuidar desde el principio, y en cuya gestión participan gran cantidad de agentes.


Siguiendo con esta comparación, los ciberataques, cada vez más sofisticados y difíciles de detectar, se pueden considerar como una enfermedad que debemos ser capaces de prevenir y ante la que debemos ser capaces de reaccionar, generando los anticuerpos necesarios para volver a la situación de salud inicial.

Es vital la divulgación y concienciación en materia de ciberseguridad tanto de empresas como de ciudadanos

.

En este caso, vamos a explicar algunos de los términos relacionados con la seguridad informática o seguridad de tecnologías de la información..

Malware

Software malicioso creado para infiltrase en una computadora, obtener información confidencial o acceder a sistemas informáticos privados.

Dispositivo de análisis de malware

Dispositivo de alto rendimiento diseñado para analizar automáticamente archivos sospechosos y descubrir el malware, ejecutando esos archivos dentro de la seguridad de un entorno de máquina virtual de sandbox.

Sandbox

Palabra procedente del inglés que significa "caja de arena" (sand: arena, y box: caja) y hace referencia a una de las muchas máquinas virtuales utilizadas para detectar la presencia de malware y otros amenazas cibernéticas.

Phishing

El phishing o "suplantación de identidad" es un intento de obtener información confidencial (como nombres de usuario, contraseñas e información detallada de tarjetas de crédito) de forma fraudulenta por medio de técnicas haciéndose pasar por una entidad confiable.

Ransomware

Tipo de malware que cifra los archivos importantes para el usuario, haciéndolos inaccesibles, y pide que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos.

Scareware

Del inglés scare (miedo) y software, es un tipo de ransomware más simple que engaña a los usuarios de una computadora para que visiten sitios infestados de malware.

Si quieres conocer otros tipos de malwares, visita la página del blog: ¿sabes cómo funciona un programa antivirus y cómo protegerte contra malwares?

Spear Phishing

Un ataque contra una organización específica o un individuo dentro de esa organización. La intención es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos confidenciales.

Hacktivismo

El Hacktivismo (un acrónimo de hacker y activismo) es el uso de computadoras y redes informáticas para protestar y/o promover fines políticos.

Ataque de día cero

En inglés zero-day attack o 0-day attack, es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. El nombre 0-day se debe a que aún no existe ninguna revisión o parche para mitigar el aprovechamiento de la vulnerabilidad.

Baiting

Un ataque de ingeniería social en el cual los medios físicos (como CD-ROMs o unidades flash USB) que contienen malware se dejan deliberadamente cerca de las instalaciones de una organización objetivo, donde pueden ser encontrados y posteriormente instalados por víctimas curiosas.

Big Data

Una colección de conjuntos de datos tan grandes y complejos que son difíciles de trabajar con la gestión de bases de datos tradicionales y herramientas de análisis.

Big Data Security

Una solución basada en computadora que captura y almacena algunas o todas las fuentes de datos grandes de una organización para descubrir y mitigar las amenazas cibernéticas.

Cyberwarfare

Ataque cibernético de motivación política para llevar a cabo sabotaje y/o espionaje contra otra nación.

Ataque de denegación de servicio (DoS)

Es un ataque a un sistema de computadoras o red que hace que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de conectividad en la red por el consumo de ancho de banda de la misma o sobrecarga de los recursos computacionales del sistema atacado.

Política de uso aceptable (AUP)

Un conjunto de normas que define la forma en que los usuarios finales pueden utilizar computadoras, red y recursos de Internet.

Amenaza persistente avanzada (APT)

Ataque cibernético que emplea técnicas avanzadas de sigilo para permanecer desapercibidos durante largos períodos, generalmente gubernamental o comercial, dirigido a penetrar la seguridad informática de una entidad específica.

Prevención de pérdida de datos (DLP)

Una estrategia o solución que detecta y evita que los usuarios finales envíen información sensible o crítica fuera de la red corporativa.

Defensa en profundidad

Proviene de la terminología militar y se refiere a una estrategia que pretende aplicar controles de seguridad para proteger los datos en diferentes capas de modo que una amenaza de seguridad debe poder vulnerar más de una medida de seguridad.

Drive-by download

Una forma de ciberataque que se produce cuando un usuario descarga de forma involuntaria un software de ordenador proveniente de Internet. El sitio web descarga el malware en la computadora de la víctima sin que la víctima se da cuenta.

Falso positivo

Para un antivirus, un falso positivo en informática se refiere a la detección de un archivo como virus (o alguna otra clase de malware) por parte de un antivirus, cuando en realidad no es ningún virus o malware.

Falso negativo

En el contexto de la seguridad de la información se produce cuando el software antivirus falla en detectar un archivo o área del sistema que está realmente infectada.

Sistema de detección de intrusos (IDS)

Un dispositivo o software pasivo que supervisa el tráfico de red y proporciona alertas cuando detecta amenazas cibernéticas.

Sistema de prevención de intrusiones (IPS)

Un dispositivo activo (en línea) o una aplicación de software que supervisa el tráfico de red y bloquea las amenazas cibernéticas tras la detección. Es un control de acceso cercano a las tecnologías cortafuegos.

Análisis de comportamiento de red (NBA)

Una solución de seguridad informática que monitorea continuamente los datos de flujo de los routers para detectar un comportamiento anómalo de la red como ataques de denegación de servicio, ciertas formas de malware y violaciones a políticas de red.

Cortafuegos de nueva generación (Next-Generation Firewall o NGFW)

Dispositivo cuya función es gestionar la seguridad entre redes LAN permitiendo o denegando las conexiones, pero va más allá con funcionalidades avanzadas que se pueden activar o desactivar de forma modular, tales como Detección de Intrusos (IPS), Prevención de Intrusos (IDS), Control de Aplicaciones, Prevención de perdida de datos (DLP), Autenticación de Usuarios, Concentrador VPN, Antivirus y Filtrado Web.

Información sobre seguridad y gestión de eventos (SIEM)

La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y software de red. Se trata de software o administración de servicios utilizado también para loguear datos de seguridad y generar reportes para fines de cumplimiento.

Dispositivo de visibilidad SSL

Aparato de alto rendimiento diseñado para inspeccionar el tráfico cifrado SSL (y TLS), hacer cumplir políticas de uso de SSL, descifrar el tráfico SSL para la inspección y/o captura de datos por uno o más dispositivos de seguridad de red y eliminar el punto ciego de seguridad que crea el tráfico cifrado.

Gestión Unificada de Amenazas (UTM)

Por lo general un único producto de seguridad que ofrece varias funciones de seguridad en un solo punto en la red. Una solución UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam, firewall de red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas.

Watering Hole Attack

El ataque se vale de los mismos empleados de las compañías haciéndoles descargar involuntariamente malware a la red de la organización atacada cuando visitan una una página web de confianza controlada por el delincuente.

Jose Maria Acuña Morgado - Desarrollador Web

Leer más

HackerOne, conecta hackers con empresas

Creado por los líderes de seguridad de Facebook, Microsoft y Google, HackerOne es la primera plataforma de gestión de vulnerabilidades y recompensas de errores: todos los informes de vulnerabilidad en un solo lugar, administrados por el equipo de soporte de incidencias, proporcionando una fácil interacción entre los interesados ​​y recompensando a cualquier hacker en cualquier parte del mundo con un sólo clic.

En el año 2011, dos holandeses con 20 años de edad diseñaron una lista de objetivos de 100 empresas de alta tecnología que tratarían de hackear. En poco tiempo habían encontrado fallos de seguridad en Facebook, Google, Apple, Microsoft, Twitter y otras 95 empresas.

Cuando alertaron a los ejecutivos de esas empresas, alrededor de un tercio de ellos ignoraron el aviso. Otro tercio les dió las gracias pero nunca solucionaron las vulnerabilidades, mientras que el resto resolvió sus bugs de seguridad. Afortunadamente para los jóvenes hackers informáticos, nadie llamó a la policía.

Ahora Michiel Prins y Jobert Abma, se encuentran entre los cuatro co-fundadores de esta plataforma tecnológica ubicada en San Francisco que pretende convertirse en mediadora entre las empresas con problemas potenciales de ciberseguridad y hackers como ellos.
Esperan que su equipo, HackerOne, pueda persuadir a otros hackers para informar responsablemente de fallos de seguridad, en lugar de explotarlos, y conecte los "white hats" con empresas dispuestas a pagar una recompensa por sus hallazgos.

En el último año, la puesta en marcha ha convencido a algunos de los grandes de la tecnología - incluyendo Yahoo, Square y Twitter - y empresas como bancos y compañías petroleras se han puesto al servicio de esta iniciativa.
También han convencido a los inversores de capital riesgo que conocedores de los miles de millones de dispositivos móviles en línea y las vulnerabilidades inevitables, han visto en HackerOne un potencial muy lucrativo.
HackerOne recibe una comisión del 20 por ciento de cada una de las recompensas pagadas a través de su servicio.

Las compañías tecnológicas comenzaron a gratificar a los hackers hace cinco años cuando Google empezó a pagar a los hackers $3,133.70 por bugs (31337 es el código de la "élite" hacker). Desde entonces, Google ha llegado a pagar la cifra de $150,000 para una sola recompensa y ha repartido más de $4 millones a los hackers.

Cerca de 1.500 hackers forman parte de la plataforma HackerOne. Se han fijado alrededor de 9.000 bugs y recibido más de 3 millones de dólares en recompensas.

Para las empresas que están empezando a considerar el programa de errores, HackerOne les ofrece una comunidad de hackers de buena reputación y se encarga de los trámites de gestión, incluyendo los formularios de impuestos y pagos.

Además, han creado el programa Internet Bug Bounty cuyo panel premiará la investigación en las vulnerabilidades con graves consecuencias para la seguridad pública: aquellas que estén presentes en las implementaciones de múltiples proveedores o un proveedor con una cuota de mercado dominante y un gran número de usuarios finales.

El programa "Internet Bug Bounty" está formado por un grupo de voluntarios expertos en seguridad siendo responsables de la definición de las reglas del programa, la asignación de recompensas y mediar cualquier desacuerdo que pueda surgir:

• Alex Rice, HackerOne
• Chris Evans, Tesla Motors
• Katie Moussouris, HackerOne
• Zane Lackey, Signal Sciences
• Jesse Burns, NCC Group
• Collin Greene, Uber
• Matt Miller, Microsoft
• Roman Porter, Microsoft
• Neal Poole, Facebook
• Kostya Kortchinsky, Google
• Peleus Uhley, Adobe

¿Cómo funciona HackerOne? (english):





Algunas de las empresas que forman parte de la plataforma Hackerone:

Twitter
Square
Vimeo
Adobe
Snapchat
Dropbox
Mail.Ru
Slack
InVision
Flash
Secret
Yahoo!
The Internet
Phabricator
Ruby on Rails
Ruby
Python
Django
Nginx
OpenSSL
PHP
Perl
Apache httpd
HackerOne

Puedes ver el listado commpleto en Directory Report Vulnerabilities to Companies's Security Teams

Jose Maria Acuña Morgado - Desarrollador Web

Leer más

¿sabías que Google paga recompensas por descubrir fallos de seguridad en sus productos?

La filosofía de seguridad de Google:
como proveedor de software y servicios para muchos usuarios, anunciantes y editores en Internet, Google apuesta fuertemente por ayudar a proteger su privacidad y seguridad.
Y lo hace proporcionando recompensas en efectivo (desde noviembre de 2010) para mejorar la calidad y seguridad de sus productos.

Google ofrece actualmente los siguientes programas de recompensa de seguridad:

• Programa de Recompensa de Vulnerabilidad de Google (VRP)
• Programa de Recompensa de Patch
• Ayudas a la Investigación de Vulnerabilidades
• Programa de Recompensa de Chrome
• Programa de Recompensa de Android

En principio, cualquier servicio web propiedad de Google que maneja datos de usuario sensibles están en el alcance de estas recompensas. Esto incluye todo el contenido en los siguientes dominios:

• *.google.com
• *.youtube.com
• *.blogger.com

Errores en aplicaciones y extensiones desarrolladas por Google (publicados en Google Play, en iTunes o en la Chrome Web Store) también calificarán.

Las empresas o servicios recién adquiridos están sujetos a un período de supervisión de seis meses. Los bugs reportados antes de ese periodo no califican para una recompensa.

Cualquier problema de diseño o implementación que afecta sustancialmente a la confidencialidad o integridad de los datos de usuario formará parte del programa.

Los ejemplos más comunes incluyen:

• Cross-site scripting
• Cross-site request forgery
• Mixed-content scripts
• Authentication or authorization flaws
• Server-side code execution bugs

Cantidades de recompensa

Las recompensas por errores de clasificación van desde $100 a $20.000.
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Category	Examples	Applications that permit taking over a Google account [1]	Other highly sensitive applications [2]	Normal Google applications	Non-integrated acquisitions and other sandboxed or lower priority applications [3]
Vulnerabilities giving direct access to Google servers
Remote code execution	Command injection, deserialization bugs, sandbox escapes	$20,000	$20,000	$20,000	$1,337 - $5,000
Unrestricted file system or database access	Unsandboxed XXE, SQL injection	$10,000	$10,000	$10,000	$1,337 - $5,000
Logic flaw bugs leaking or bypassing significant security controls	Direct object reference, remote user impersonation	$10,000	$7,500	$5,000	$500
Vulnerabilities giving access to client or authenticated session of the logged-in victim
Execute code on the client	Web: Cross-site scripting Mobile: Code execution	$7,500	$5,000	$3,133.7	$100
Other valid security vulnerabilities	Web: CSRF, Clickjacking Mobile: Information leak, privilege escalation	$500 - $7,500	$500 - $5,000	$500 - $3,133.7	$100

Además, ofrece la opción de donar tu premio a una organización benéfica. Si lo haces, Google duplicará su donación.
Cualquier recompensa sin reclamar después de 12 meses será donada a una organización benéfica de su elección.

Google no emite recompensas a las personas que están en las listas de sanciones, o que se encuentran en los países que forman parte de las listas de sanciones: Cuba, Irán, Corea del Norte, Sudán y Siria.

¿Quién determina si el informe es elegible para una recompensa?:

El panel de recompensa se compone de los miembros del equipo de seguridad de Google.
Actualmente, los miembros permanentes son Artur Janc, Eduardo Vela Nava, Jeremy Zimmer, Martin Straka, y Michal Zalewski.
También se incorporan al equipo otros miembros de forma rotativa.

¿Cómo reportar un informe de vulnerabilidad de Google?:

Accede a la siguiente dirección: Security Bug Report

¿Qué es bughunter.withgoogle.com?:

Es el tablero de instrumentos para todos los investigadores de seguridad que participan en el Programa de Recompensa de Vulnerabilidad (VRP) de Google.

Si quieres aparecer en el salón de la fama tienes que presentar un informe de error válido.
El salón de la fama se ordenan en función de una combinación de:

• Cantidad: informes de errores válidos conducirán a una mejor clasificación. Informes falsos pueden llevar a un rango inferior.
• Gravedad: errores más graves conducen a una mejor clasificación.

Yo he tenido la suerte de encontrar un error de seguridad en uno de sus productos y formo parte del Salón de la Fama de Google :))

Google Vulnerability Reward Program (HALL OF FAME)





Soluciones a problemas comunes de "no vulnerabilidad"::

• por robo de cuentas, accede aquí para Youtube, y aquí para las cuentas de Google (incluído Gmail).
• otros problemas de seguridad de las cuentas de Gmail, Youtube o Checkout.
• solicitudes de retirar contenidos en Search, Streetview, Maps, Youtube, Orkut, Blogger o cualquier otro producto.
• informar de malware o phishing o anuncios inapropiados o maliciosos.
• estafas, incluidas las falsas loterías y ofertas de empleo.
• para cualquier otra cosa, accede a la página de soporte de Google.

La lista completa de programas de caza de bugs de 2019::

Recientemente, una lectora del blog me ha proporcionado información valiosa de los programas de recompensas más importantes en la actualidad(Bug Bounty): La lista completa de programas de caza de bugs de 2019.
Muchas gracias Verónica :))

Jose Maria Acuña Morgado - Desarrollador Web

Leer más