Qué es una plataforma de “bug bounty” y sus beneficios para las empresasRubén García Ramiro 2 septiembre, 2020 Recientemente conocíamos que Telefónica Tech -en concreto, ElevenPaths, su unidad de ciberseguridad- está preparando una plataforma privada de “bug bounty” para que los hackers puedan optar a recompensas por detectar brechas de seguridad en empresas. La utilidad de un programa de este tipo es que permite tener acceso a una base de talento mucho mayor que las compañías tradicionales de ciberseguridad. Pero ¿qué es exactamente un programa bug bounty y qué beneficios aporta a las compañías? Según la Wikipedia, «bug bounty es un acuerdo ofrecido por muchos sitios web y desarrolladores de software, por el cual las personas pueden recibir reconocimiento y compensación por reportar errores, especialmente aquellos relacionados con amenazas y vulnerabilidades de seguridad». Pero la mejor forma de entender la necesidad de implantar una iniciativa de este tipo es con un ejemplo. Supongamos que una compañía tiene una nueva app que quiere verificar en busca de vulnerabilidades de seguridad. Hay dos escenarios posibles. En uno, la organización contrata a una empresa de ciberseguridad para realizar una consultoría y “poner a prueba” el nuevo software. El otro consiste en trabajar con una plataforma bug bounty. La evaluación de ciberseguridad de activos digitales clásica En el primer caso, el funcionamiento común es que la empresa de ciberseguridad asigne a algunos de sus expertos para probar el software/app durante un periodo de dos a cuatro semanas, según el alcance. Tras la evaluación, se recogerán en un informe todas las vulnerabilidades de seguridad que los expertos hayan encontrado durante la evaluación. Hasta no hace mucho, y de forma general, éste era el proceso estándar por el que pasaban la mayoría de las empresas al realizar una evaluación de ciberseguridad de sus activos digitales. Cambio de paradigma en la detección de vulnerabilidades de seguridad Pero los programas bug bounty han venido a cambiar de forma radical la manera de hacerlo. Funcionamiento de una plataforma bug bounty Para conocer el cambio de paradigma que supone, pondré un segundo ejemplo. Cuando una empresa elige una Bug Bounty Platform (BBP) la propia plataforma ayuda a crear un documento en el que se describe en detalle qué recursos están dentro / fuera del alcance, cuál es el procedimiento de informe de la obtención de vulnerabilidades, las recompensas según los errores reportados (la parte más atractiva), así como otras reglas que forman parte de la política del programa bug bounty Una vez fijados el “qué” y el “cómo”, la plataforma de bug bounty hará un anuncio a cientos de sus investigadores notificándoles que el programa está activo y las recompensas que pueden obtenerse. A partir de este lanzamiento, decenas o incluso cientos de investigadores de seguridad probarán los activos indicados durante meses. Bug bounty como acceso al mayor número de expertos A lo largo del proceso, todas las vulnerabilidades se informan a través de la plataforma. El equipo de triaje de la plataforma bug bounty valida cada una de ellas. La empresa cliente, por su parte, puede monitorizar la actividad del programa en todo momento (24×7) con actualizaciones en tiempo real sobre vulnerabilidades encontradas y el dinero gastado. En este segundo escenario, la gran ventaja es que muchos investigadores con increíble expertise probarán los activos indicados durante un período prolongado de tiempo. Esto reduce en gran medida la posibilidad de que un error «pase desapercibido». Las empresas de ciberseguridad tradicionales simplemente no pueden competir con la base de talento disponible en las plataformas bug bounty. Podríamos decir que en ellas hay un alto grado de “autónomos internacionales expertos en ciberseguridad”. Los programas bug bounty más populares Entre los programas bug bounty más conocidos, cuya popularidad normalmente es directamente proporcional a la cuantía de la recompensa posible, está el de Verizon Media, con un total pagado de más de nueve millones de dólares y una recompensa más alta por vulnerabilidad de 70.000 dólares. La jugosa cifra hace que quede lejos el segundo puesto, que ocupa Paypal, con un total pagado de más de cinco millones de dólares y una recompensa más alta por vulnerabilidad de 30.000 dólares. Un pero y una solución El problema de los programas bug bounty -no es oro todo lo que reluce-, y que se quiere paliar desde ElevenPaths en este mundo VUCA de la ciberseguridad, es la excesiva exposición en muchos casos. El atractivo de una jugosa cuantía unido a múltiples players en busca de vulnerabilidades puede provocar problemas de rendimiento o caídas del sistema. Por ello, debe empezarse a controlar este tipo de actuaciones. Como indicaba Alberto Cuesta, de Telefónica Tech, en el anuncio de la noticia, “será una plataforma segura a la que los hackers accederán por invitación». Los programas bug bounty ya han demostrado su valía, es hora de iterar su potencial. El camino hacia la nube cuesta; mejor, subir bien acompañadoDe la experiencia masiva de teletrabajo a modelos laborales más flexibles
Laura Lacarra Arcos Talento y tecnología al servicio de la red: una mirada multidisciplinar para dar sentido al análisis de datos Podemos comunicarnos gracias a la red. Y la red funciona a pleno rendimiento, gracias a todas las personas que están detrás. Como podréis imaginar, se trata de un entramado...
Belén Espejo González La educación, una parada obligatoria en el viaje a la digitalización Estamos viviendo una época sin precedentes, en la que los cambios se suceden a una velocidad vertiginosa. No hace mucho, cualquier pequeña innovación habría necesitado varios años para ser...
Mercedes Núñez Tech&People o, mejor, People&Tech: «El talento marca la diferencia en el uso de la tecnología» “La tecnología nos va a hacer mucho más humanos” y “No podemos gestionar a los empleados del futuro con herramientas del pasado” son dos de las frases del congreso...
Mercedes Núñez La revolución de 5G en sanidad, «un paso gigantesco para el progreso de la humanidad» Hace unos días se daba a conocer la primera cirugía asistida de cáncer de mama en tiempo real entre España y Portugal con 5G y realidad aumentada. Ha empezado,...
Mercedes Núñez Videojuego español: avances y retos pendientes La consolidación del videojuego como fenómeno cultural de masas y sector estratégico es una realidad. En 2021 el número de jugadores en el mundo superó la barrera de los...
Cristóbal Corredor Ardoy Liderazgo híbrido: “Be water, my friends!” La revolución digital está transformando el panorama laboral- hoy escribiré del liderazgo híbrido– y sacudiendo los pilares de nuestra sociedad. Con la misma fuerza que la Revolución Industrial cambió...