¿Alguna vez habías imaginado que te pagarían por encontrar algún defecto o vulnerabilidad en tus aplicaciones favoritas? Pues ¡sorpresa!, es toda una realidad, y es que hoy en día, así como día a día se generan y salen al mercado decenas de aplicaciones, también salen decenas de malwares que atacan las debilidades de estas mismas.
Así que, una de las mejores oportunidades que tienen las grandes empresas desarrolladoras, es crear concursos con el fin de que los Hackers participen y obtengan diversas económicas, en muchos de los casos, más grandes de las que pudiesen obtener en el mercado negro, y puedan trabajar para mejorar y no para afectar.
La realidad es que los programas de recompensa de errores en los softwares han estado desde inicios de la web; sin embargo, se han popularizado cada vez más para que una mayor cantidad de gente participe, y puedan tener la certidumbre de encontrar el mayor número de fallas, y que estas no sean ocupadas después.
A continuación, listamos casos donde se ha premiado por detectar vulnerabilidades en los softwares de algunas de las plataformas más importantes a nivel mundial:
• Microsoft ha llegado a pagar hasta $100,000 dólares por haber detectado de fallas en su sistema operativo Windows 10.
• Facebook ha pagado más de $5 millones de dólares a unos 900 investigadores en los últimos cinco años.
• Twitter ha pagado más de $600,000 dólares
• Google ofrece recompensas de decenas de miles de dólares a los Hackers que identifican vulnerabilidades en sus plataformas en general.
• United Airlines paga a los Hackers informáticos con millas en lugar de efectivo. (Ese programa se lanzó después de que un Hacker informático afirmó que había asumido el control de un vuelo de ellos).
Paradójicamente en este momento las compañías buscan a los principales saboteadores para cubrir sus sistemas, en páginas como Hackerone, en donde compañías y Hackers exponen sus logros o servicios. En dicha página encontramos una frase icónica del propio Jeffrey Massimilla, Director Global de General Motors, “Los hacker se han convertido en una parte esencial de nuestro ecosistema de seguridad”, leer esto puede parecer un broma, pero esta es la ideología que se ha tenido que adoptar para que las compañías tengan un enfoque proactivo en la búsqueda de vulnerabilidades cítricas en sus softwares.
En la Hackerone también podemos encontrar una tabla de clasificaciones de Hackers, los cuales están valorados de acuerdo a su reputación e impacto en la vulnerabilidad detectada, al seleccionar a uno podemos observar su actividad y cantidad monetaria de recompensas recibidas, así como las alertas de vulnerabilidades notificadas y cerradas.
Esta plataforma les permite a las compañías subir sus programas Bug Bounty como se refieren en el argot de recompensas. Para las compañías se puede visualizar el nivel de informes resueltos, activos en alcance, recompensa promedio, política y términos del programa.
Algunas reglas del juego que son consistentes entre las compañías son las siguientes dirigidas para los Hackers:
• Investigue y divulgue de buena fe.
• Respetar la privacidad de nuestros usuarios.
• Sin extorsión, sacudidas o coacción.
• No deje ningún sistema en un estado más vulnerable del que lo encontró.
• No divulgue públicamente una vulnerabilidad sin nuestro consentimiento y revisión.
• Sea respetuoso cuando interactúe con nuestro equipo, y nuestro equipo hará lo mismo.
Enseguida se listan algunas compañías que están dentro de los programas de recompensa con la cantidad promedio de pago.
Tabla 1. Lista de Compañías y Hackers Resumida de Hackerone
| Compañía | Actividad | Recompensa promedio (USD) | Informes resueltos | Año de lanzamiento de programa Bug Bounty |
| UBER | Asistencia en transporte | $ 500 – $ 750 | 1389 | 2014 |
| VERIZON MEDIA | Creación de marcas | $ 394 – $ 500 | 5759 | 2014 |
| AIRBNB | Asistencia en hospedaje | $ 500 – $ 750 | 569 | 2015 |
| QUIWI | Wallet electrónico | $ 100 | 727 | 2014 |
| UDEMY | Aprendizaje y cursos | $ 100 | 245 | 2015 |
| Red social | $ 420 – $ 560 | 1112 | 2014 | |
| SPOTIFY | Plataforma de música | $ 300 | 499 | 2017 |
| PLAY STORE GOOGLE | Compra de aplicaciones | $ 3k | 457 | 2017 |
| PAYPAL | Medio de pago | $ 1k – $ 2k | 38 | 2018 |
Con base en los datos que observamos en la tabla, y considerando que la compañía más longeva en la plataforma es del 2014, puede que nosotros como usuarios tengamos una sensación de urgencia en cuanto a la protección de nuestros datos, pero actualmente la capacidad intelectual adicional se encuentra robustecida por la comunidad de desarrolladores y programadores dirigidos a la detección de vulnerabilidades, con el fin de que nosotros tengamos una seguridad razonable, más no absoluta de nuestros softwares.
Por lo cual, te recomendamos no fiarte al 100% de la seguridad de las plataformas en general, y llevar a cabo controles propios de seguridad que te ayudarán a mitigar riesgos. Si necesitas más información, tenemos muchos artículos que te apoyaran a protegerte y a tener una mayor conciencia acerca de la seguridad informática.
