Pagar a investigadores de seguridad para ayudar a descubrir vulnerabilidades (errores, bugs) en programas de informática vale la pena. Los errores existen en el software, eso es un hecho, no una declaración controvertida. El desafío y la controversia radica en cómo las diferentes organizaciones encuentran los errores en su software.

Una de las formas en que las organizaciones encuentran errores es con un programa de recompensas de errores. Las recompensas de errores no son una panacea o una panacea para encontrar y eliminar fallas de software, pero pueden jugar un papel importante.

¿Qué es una recompensa de errores?

Una recompensa de errores es simplemente una recompensa pagada a un investigador de seguridad por revelar una falla de software en un software.

Los mejores programas de bonificación de errores funcionan como un programa estructurado, con una organización que proporciona a los investigadores de seguridad algunas reglas básicas y políticas para la presentación. Los programas de recompensas de errores pueden ser ejecutados por las organizaciones por sí mismos, o a través de plataformas de recompensas de errores de terceros.

Otro elemento central de un programa de bonificación de errores es una comprensión adecuada de lo que constituye divulgación responsable. Un investigador de seguridad que participe en un programa de recompensa de errores debe revelar de manera privada un error a un proveedor afectado y no divulgar públicamente ese defecto hasta que se haya resuelto el error y el vendedor acepte la divulgación pública.

Cómo mejoran la seguridad las recompensas de errores

Las bonificaciones de errores son una herramienta importante que puede ayudar a las organizaciones a encontrar vulnerabilidades potenciales. Pero los programas a menudo han sido mal entendidos, por lo que la naturaleza y el propósito de las recompensas de errores se detallaron públicamente en una audiencia en el Senado de Estados Unidos el 6 de febrero.

"Necesitamos hackers", dijo Marten Mickos, director ejecutivo de la plataforma HaunchOne, durante su testimonio en el Senado. "Nuestro objetivo debe ser una Internet que permita la privacidad y proteja a los consumidores. Esto no se puede lograr sin hackers éticos que asuman un papel activo en la protección de nuestra seguridad colectiva".

"Los hackers son realmente el sistema inmune de Internet", agregó.

Justin Brookman, director de la Unión de Consumidores de Política de Privacidad y Tecnología, que es el brazo de acción y política de Consumer Reports, también apoya las recompensas de errores cuando se usan correctamente.

"Consumers Union es un fuerte defensor de los programas de bonificación de errores, y cree que juegan un papel crucial en un ecosistema de seguridad de datos que ha fallado a los consumidores con demasiada frecuencia", dijo Brookman durante la audiencia en el Senado. "Utilizados correctamente, los programas de bonificación de errores permiten a las empresas conocer infracciones y vulnerabilidades, al servicio de los objetivos más amplios de proteger los datos de los consumidores y alertar a los consumidores sobre las amenazas que la ley exige y / o exige".

Estadísticas de recompensas de errores

Google opera uno de los mayores programas de recompensas de errores en la industria para ayudar a mejorar la calidad de sus tecnologías. En 2017, Google pagó un total de $ 2.9 millones a 274 investigadores de seguridad que participaron en sus programas de bonificación de errores. Un total de 1.230 premios individuales fueron pagados a los investigadores, el mayor premio individual fue de $ 112,500.

Facebook también opera un gran programa de recompensas por errores y otorgó un total de $ 880,000 por fallas que los investigadores informaron en 2017. El pago promedio de recompensas por errores de Facebook en 2017 fue de $ 1,900.

En cuanto a una base más amplia, HackerOne, que ofrece programas gestionados de bonificación de errores para las organizaciones, descubrió que en 2017 la recompensa de errores promedio para una vulnerabilidad crítica era de $ 1,923, aunque el pago varía según las diferentes categorías de la industria.

Bugcrowd también proporciona una plataforma de recompensa de errores administrada y tiene su propio conjunto de datos sobre pagos de vulnerabilidad.

Recompensas de errores que salieron mal

Si bien la promesa de bonificaciones de errores es recompensar a los investigadores por hacer lo correcto, también pueden salir mal. En 2016, Uber usó la plataforma HackerOne bug bounty para pagarle a los hackers que habían robado información de 56 millones de personas de sus sistemas.

"Reconocemos que el programa de bonificación de errores no es un vehículo apropiado para tratar con intrusos que buscan extorsionar fondos de la compañía", declaró el director de seguridad de la información de Uber John Flynn durante su testimonio en el Senado. "El enfoque que tomaron estos intrusos fue distinto del de los investigadores de la comunidad de seguridad para quienes se diseñaron programas de bonificación de errores".

Katie Moussouris, CEO de Luta Security, ayudó a crear las primeras recompensas de errores de Microsoft y trabajó con el Departamento de Defensa de EE. UU. El dejó en claro durante su testimonio en el Senado que pagarle a un investigador por una violación de datos no es una recompensa por errores.

"Hay una diferencia entre pagar $ 10,000 por un error y pagar $ 100,000 por una infracción", dijo Moussouris. "Si el mercado legal de errores se complica con los pagos de extorsión que son exponencialmente más altos, construiremos el tipo equivocado de mercado, y los consumidores serán las víctimas en lugar de los beneficiarios del trabajo mejorado con hackers".

Proveedores de plataforma de recompensas de errores

Actualmente, hay varios proveedores de plataforma de recompensas de errores en la industria. Algunas de esas plataformas fueron nombradas en este mismo corto informe, más arriba.