La protección de una compañía mediante Bug Bounty Platforms

La protección de una compañía mediante Bug Bounty PlatformsLas Bug Bounty Platform (BBP), o plataformas de recompensas de errores, nacieron para dar forma a una nueva era de ciberseguridad. Estos programas permiten a los hackers informar de errores a una organización en su sistema, errores como exploits de seguridad, problemas de proceso, fallas de hardware y diferentes vulnerabilidades. Encontrar vulnerabilidades permite aumentar métricas y optar por nuevos programas para adoptar nuevos desafíos y experiencias.

En esencia, es un sistema de compensación ofrecido por muchos sitios web, organizaciones y desarrolladores de software, mediante el cual las personas pueden recibir reconocimiento y recompensas por informar de errores en los sistemas de diferentes compañías. En los últimos tiempos, cada vez son más las empresas que se unen a las plataformas de recompensas por errores.

Programas Bug Bounty

Estos programas existen desde hace más de dos décadas, pero sufrían limitaciones y era necesaria la existencia de un middleware en el mercado de la ciberseguridad. Las plataformas de Bug Bounty deben respetar la política de seguridad de cada sitio web, entregar informes de alta calidad y aportar cualquier información relevante. Entre los programas más destacados del 2021 están Hackerone, BugCrowd, OpenBugBounty, SynAck y YesWeHack.

Todas estas plataformas han decidido iniciar su transformación de pruebas de seguridad a plataformas de ciberseguridad todo en uno, es decir, que ofrecen pruebas de penetración clásicas junto con otros servicios.

  • Hackerone

Hackerone es el líder en el sector. Existen dos formas de usar esta plataforma: en primer lugar, utilizarla para recopilar informes de vulnerabilidad y luego la propia compañía se hace cargo de su resolución o, en segundo lugar, dejar que los desarrolladores de la plataforma compilen estos informes de vulnerabilidad, los verifiquen y se pongan en contacto con los hackers para su resolución.

Esta plataforma es utilizada por grandes compañías como Google Play, GitHub o Starbucks. También, es conocida por albergar los programas Bug Bounty del Gobierno de los EE. UU., incluidos los programas de divulgación de las vulnerabilidades del Departamento de Defensa.

Actualmente Hackerone ofrece servicios de pruebas de penetración, haciendo de esta una plataforma mucho más completa.  Tiene su lugar establecido en la industria con extensas certificaciones de seguridad, como la ISO 27001.

  • BugCrowd

BugCrowd es sin duda la plataforma más creativa de todas, ya que promueve los servicios tradicionales de pruebas de seguridad colectiva aparte de la recompensa de errores, la gestión de la superficie de ataque y un amplio espectro de servicios de pruebas de penetración para IoT y API. Además, posee capacidades de integración del ciclo de vida del desarrollo del software, dando lugar a que el flujo de trabajo de DevSecOps sea más fácil y rápido.

BugCrowds trabaja junto a gigantes como Amazon, Visa o eBay. Asimismo, su apartado de Bug Bounty proporciona una solución SaaS que se integra fácilmente en el ciclo de vida del software, haciendo sencilla la ejecución de un programa de recompensa de errores.

  • SynAck

SynAck ofrece un equipo altamente cualificado con experiencia en la industria. La empresa combina software de seguridad habilitado para inteligencia artificial y aprendizaje automático con una red de colaboración colectiva de hackers.

Esta plataforma adopta un enfoque contradictorio de la inteligencia de explotación, para mostrar a la empresa dónde se encuentran las vulnerabilidades más críticas para el negocio y cómo se pueden utilizar en su contra. Esta inteligencia permite, a los recursos de todo el ciclo de vida de desarrollo de sistemas, aplicar las mejores prácticas de seguridad específicas para su organización.

  • YesWeHack

YesWeHack es una de las compañías europeas de divulgación de vulnerabilidades, que en general atrae a empresas con sede en la propia Europa, cuya principal preocupación es la privacidad y la protección de datos. Recientemente, anunció un crecimiento del 250% durante el año 2020 en Asia, lo que demuestra su fiabilidad, rápido ascenso y escalado a otras geografías.

Para este año, la plataforma ha lanzado un programa de capacitación a través DOJO, para ayudar a los hackers a perfeccionar sus habilidades. De tal forma, los hackers de todo el mundo podrán mejorar sus habilidades de prueba de seguridad de software.

  • OpenBugBounty

OpenBugBounty cuenta con más de 1.200 programas de Bug Bounty activos. La clave del éxito de esta plataforma se debe a que es la única sin ánimo de lucro, y permite la divulgación coordinada de problemas de seguridad en cualquier sitio web si el problema se detecta por medios no intrusivos.

La plataforma asegura que sus políticas de seguridad y divulgación se basan en la ISO 29147, para empresas como A1 Telekom.

Mitos de las Bug Bounty platforms

Durante mucho tiempo se ha tenido la creencia de que el Bug Bounty debía ser de acceso público para todos los hackers, hasta que grandes compañías como Microsoft lanzaron un programa de recompensa de errores.

Los programas en abierto son un método de demostrar públicamente la seguridad de los productos que ofrecen distintas compañías, pero, por el contrario, en un programa privado se elige a un grupo de personas para encontrar errores. De forma que las vulnerabilidades no tienen que ser públicas y el grupo de personas seleccionado cuenta con la experiencia requerida por la empresa que contrata sus servicios.

La mayoría de las organizaciones empiezan con programas privados hasta que el manejo de las vulnerabilidades está ensayado, se pronostica un presupuesto de recompensa y se informa a los equipos legales. Luego, se hace esta información pública, ya que mostrar públicamente la seguridad, da sensación de confianza y honestidad por parte de la empresa.

Por otro lado, no es necesario ejecutar programas continuos de recompensas de errores, aunque muchas compañías lo hagan; es suficiente con programas que implican pruebas de corto alcance, utilizando un número definido de hackers comprometidos a corto plazo.

Los programas son totalmente personalizables, es decir, es sencillo establecer métricas para los programas privados de forma que la cantidad de informes recibidos sean manejables, tanto en tiempo como en presupuesto. Una vez que los equipos de seguridad están alineados, se puede avanzar hacia un plan de participación continua.

Alternativas a las Bug Bounty plataforms

Para que las organizaciones puedan tener un canal seguro, es necesario disponer de un programa de divulgación de vulnerabilidades. Las empresas pueden optar por contratar una empresa de pruebas de penetración para realizar pruebas durante un tiempo limitado. Así pues, se garantizará que la empresa cuente con un equipo formado y competente.

Las pruebas de penetración suelen durar unas semanas, mientras que los programas de recompensas de errores generalmente se ejecutan durante años, sin existir límite para realizar diversas pruebas.

La principal diferencia este estos tipos de programas reside en el precio, ya que las empresas pagan a los hackers de penetración por el objetivo a cumplir, mientras que las recompensas de errores se pagan por vulnerabilidad válida hallada.

Inconvenientes

Uno de los principales inconvenientes, desde el punto de vista de los hackers, es que solo se obtiene una recompensa cuando se es el primero en encontrar un fallo o vulnerabilidad. Esto da lugar a una inestabilidad económica dentro del mundo del Bug Bounty.

Desde el lado de las compañías, se debe comprender que sólo tiene sentido usar estos programas si la empresa tiene poder y estabilidad suficiente como para solucionar rápidamente los problemas encontrados. Asimismo, si una organización opta por hacer uso del Bug Bounty público, debe tener la capacidad de lidiar con un aumento considerable de alertas, de las cuales, muchas de ellas serán inútiles.

Por último, la gran mayoría de hackers que trabajan para estas plataformas se dedican a la búsqueda de vulnerabilidades de sitios web; son muy pocos los que optan por la búsqueda de errores de sistemas operativos, ya que hackear hardware de red o la memoria requiere una experiencia altamente cualificada. Así pues, si la finalidad de la compañía es encontrar errores en su sistema operativo, la recompensa será mas costosa.

Conclusiones

Los programas de recompensas de errores son una gran estrategia para incluir en procesos de prueba y codificación web, ya que proporcionan una perspectiva de vulnerabilidad que los programas internos normalmente no pueden alcanzar.

Este tipo de programas son óptimos para su uso en sitios web altamente visibles. Gracias a las plataformas de Bug Bounty, se puede disponer de la experiencia de decenas o cientos de investigadores de seguridad. Las recompensas por invitación tienen aproximadamente el doble de éxito que las recompensas públicas, debido principalmente a la calidad de los errores que encuentran los hackers por poseer mayor experiencia.

En general, se espera un aumento considerable de estas plataformas para los próximos años, y es una cuestión a considerar por cualquier compañía, ya que podrá reparar rápidamente vulnerabilidades encontradas en combinación con otras técnicas de ciberseguridad.