Estos programas de gestión de vulnerabilidades permiten a los desarrolladores descubrir y resolver errores antes de que sean conocidos por el público en general, evitando incidentes de abuso generalizado.
Operan bajo la premisa de un acuerdo de no revelación de vulnerabilidades (disclosure guidelines), es decir, el contenido del informe se pondrá a disposición del equipo de seguridad y no será público para que disponga de tiempo suficiente hasta que pueda publicar una corrección.
Una vez cerrado el informe, el investigador o el equipo de seguridad pueden solicitar la divulgación pública.
Los programas de recompensas de errores han sido implementados a lo largo de los años por un gran número de organizaciones, incluyendo compañías como Facebook, Mozilla, Microsoft, Google, Twitter, Intel, Apple, Tesla, Paypal, Uber, etc.
Empresas ajenas a la industria tecnológica, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos (DoD), han comenzado a utilizar programas de recompensas de errores.
El uso del programa de recompensas de errores del Pentágono conocido como “Hack the Pentagon” es consecuencia de un cambio de postura que ha llevado a varias agencias gubernamentales de Estados Unidos a invitar a los hackers a participar como parte de un marco o política integral de divulgación de vulnerabilidades.
Son conocidos los programas del DoD “Hack the Army”, “Hack the Air Force”, “Hack the Defense Travel System” y “Hack the Marine Corps”.
Otros organismos de carácter público como el Ministerio de Asuntos Exteriores de Finlandia también se han acogido al primer servicio de vulnerabilidades y recompensas económicas en el Norte de Europa (países nórdicos) coordinado por la empresa finlandesa Hackrfi.
Desarrollar software seguro es difícil, incluso para programadores experimentados que entienden los conceptos de seguridad. Debido a que construir sistemas a prueba de vulnerabilidades es un gran desafío, cada vez más empresas optan por implementar programas de recompensas de errores.
El interés en los programas de recompensas de errores continúa en expansión, y por una buena razón, ofrecen una excelente manera de alinear los intereses de las empresas que necesitan mejorar la seguridad con las personas más capaces de brindar esa seguridad:
- los hackers ponen a prueba sus habilidades con fines de lucro y las compañías minimizan sus costos porque el pago por el servicio solo se requiere para aquellos que encuentran vulnerabilidades dentro del alcance del programa.Los programas de recompensas de errores varían en alcance y cuantía en función de las potenciales vulnerabilidades.
Según las estadísticas, se lanzan alrededor de 2 billones de líneas de código cada semana con más de 110 billones de líneas de código de software creado solo en el año 2017.
Bugcrowd, una empresa especializada en seguridad colaborativa o crowdsourced security, informó que su programa de recompensas de errores ascendió a más de 6 millones de dólares en 2017 y que el 77% de todos los programas de recompensas de errores tuvieron su primera vulnerabilidad detectada y comunicada en las primeras 24 horas de anunciar el programa.
Por su parte, la plataforma HackerOne arroja, entre otros, los siguientes datos correspondientes al pasado año 2021:
- los programas de Bug Bounty están creciendo en todas las industrias, aumentando un 34% en 2021.
- los hackers informaron de 66.547 errores válidos en 2021: un 21% de incremento respecto de 2020.
- el precio medio de un error crítico aumentó de 2.500 en 2020 a 3.000 dólares en 2021.
- en el último año, el tiempo promedio de resolución de vulnerabilidades de toda la industria se redujo en un 19%: de 33 a 26.7 días.
- en la actualidad, los principales CISO y equipos de seguridad están aprovechando las habilidades y experiencia de una comunidad profesional y comprometida de hackers como estrategia central de sus pruebas de seguridad: saber qué vulnerabilidades se están priorizando, cómo se están corrigiendo y qué valor se les atribuye, puede ayudarles a crear o mejorar su propio programa de pruebas de seguridad.
Algunos canales oficiales o direcciones de correo para reportar vulnerabilidades de seguridad son:
- Apache Software Fundation: security@apache.org
- Apple: product-security@apple.com
- Avast: bugs@avast.com
- Facebook: https://www.facebook.com/whitehat/report/
- Git Hub: https://hackerone.com/github/reports/new
- Google: https://www.google.com/appserve/security-bugs/m2/new
- Intel: secure@intel.com
- Microsoft: https://msrc.microsoft.com/create-report
- Mozilla (Client Bug Bounty): https://bugzilla.mozilla.org/form.client.bounty
- Mozilla (Web Bounty): https://bugzilla.mozilla.org/form.web.bounty
- PayPal: https://hackerone.com/paypal/reports/new
- Tor Project: https://hackerone.com/torproject/reports/new
- Uber: https://hackerone.com/uber/reports/new
- Brave: https://hackerone.com/brave/reports/new
- Google Chrome: https://bugs.chromium.org/p/chromium/issues/entry?template=Security%20Bug
- Microsoft Edge (basado en Chromium): https://msrc.microsoft.com/create-report
- Mozilla Firefox: https://bugzilla.mozilla.org/form.client.bounty