Qué es una plataforma de “bug bounty” y sus beneficios para las empresas

Recientemente conocíamos que Telefónica Tech -en concreto, ElevenPaths, su unidad de ciberseguridad- está preparando una plataforma privada de “bug bounty” para que los hackers puedan optar a recompensas por detectar brechas de seguridad en empresas. La utilidad de un programa de este tipo es que permite tener acceso a una base de talento mucho mayor que las compañías tradicionales de ciberseguridad. 

Pero ¿qué es exactamente un programa bug bounty y qué beneficios aporta a las compañías? Según la Wikipedia, “bug bounty es un acuerdo ofrecido por muchos sitios web y desarrolladores de software, por el cual las personas pueden recibir reconocimiento y compensación por reportar errores, especialmente aquellos relacionados con amenazas y vulnerabilidades de seguridad”.

Pero la mejor forma de entender la necesidad de implantar una iniciativa de este tipo es con un ejemplo. Supongamos que una compañía tiene una nueva app que quiere verificar en busca de vulnerabilidades de seguridad.

Hay dos escenarios posibles. En uno, la organización contrata a una empresa de ciberseguridad para realizar una consultoría y “poner a prueba” el nuevo software. El otro consiste en trabajar con una plataforma bug bounty.

La evaluación de ciberseguridad de activos digitales clásica

En el primer caso, el funcionamiento común es que la empresa de ciberseguridad asigne a algunos de sus expertos para probar el software/app durante un periodo de dos a cuatro semanas, según el alcance. Tras la evaluación, se recogerán en un informe todas las vulnerabilidades de seguridad que los expertos hayan encontrado durante la evaluación.

Hasta no hace mucho, y de forma general, éste era el proceso estándar por el que pasaban la mayoría de las empresas al realizar una evaluación de ciberseguridad de sus activos digitales.

Cambio de paradigma en la detección de vulnerabilidades de seguridad

Pero los programas bug bounty han venido a cambiar de forma radical la manera de hacerlo.

Funcionamiento de una plataforma bug bounty

Para conocer el cambio de paradigma que supone, pondré un segundo ejemplo.

Cuando una empresa elige una Bug Bounty Platform (BBP) la propia plataforma ayuda a crear un documento en el que se describe en detalle qué recursos están dentro / fuera del alcance, cuál es el procedimiento de informe de la obtención de vulnerabilidades, las recompensas según los errores reportados (la parte más atractiva), así como otras reglas que forman parte de la política del programa bug bounty

Una vez fijados el “qué” y  el “cómo”, la plataforma de bug bounty hará un anuncio a cientos de sus investigadores notificándoles que el programa está activo y las recompensas que pueden obtenerse. A partir de este lanzamiento, decenas o incluso cientos de investigadores de seguridad probarán los activos indicados durante meses.

Bug bounty como acceso al mayor número de expertos

A lo largo del proceso, todas las vulnerabilidades se informan a través de la plataforma. El equipo de triaje de la plataforma bug bounty valida cada una de ellas. La empresa cliente, por su parte, puede monitorizar la actividad del programa en todo momento (24×7) con actualizaciones en tiempo real sobre vulnerabilidades encontradas y el dinero gastado.

En este segundo escenario, la gran ventaja es que muchos investigadores con increíble expertise probarán los activos indicados durante un período prolongado de tiempo. Esto reduce en gran medida la posibilidad de que un error “pase desapercibido”.

Las empresas de ciberseguridad tradicionales simplemente no pueden competir con la base de talento disponible en las plataformas bug bounty. Podríamos decir que en ellas hay un alto grado de “autónomos internacionales expertos en ciberseguridad”.

Los programas bug bounty más populares

Entre los programas bug bounty más conocidos, cuya popularidad normalmente es directamente proporcional a la cuantía de la recompensa posible, está el de Verizon Media, con un total pagado de más de nueve millones de dólares y una recompensa más alta por vulnerabilidad de 70.000 dólares. La jugosa cifra hace que quede lejos el segundo puesto, que ocupa Paypal, con un total pagado de más de cinco millones de dólares y una recompensa más alta por vulnerabilidad de 30.000 dólares.

Un pero y una solución

El problema de los programas bug bounty -no es oro todo lo que reluce-, y que se quiere paliar desde ElevenPaths en este mundo VUCA de la ciberseguridad, es la excesiva exposición en muchos casos. El atractivo de una jugosa cuantía unido a múltiples players en busca de vulnerabilidades puede provocar problemas de rendimiento o caídas del sistema. Por ello, debe empezarse a controlar este tipo de actuaciones.

Como indicaba Alberto Cuesta, de Telefónica Tech, en el anuncio de la noticia, “será una plataforma segura a la que los hackers accederán por invitación”.

Los programas bug bounty ya han demostrado su valía, es hora de iterar su potencial.