Cazarrecompensas de ciberseguridad: cuando encontrar errores se convirtió en negocio
Son muchas las compañías que pagan a los usuarios o hackers por encontrar vulnerabilidades en su software. Pero, ¿cuáles son las principales empresas que se adhieren a esta fórmula y por qué? Te contamos todos los detalles en este reportaje sobre los cazarrecompensas de la ciberseguridad.
La lucha de la ciberseguridad no es una batalla justa. En absoluto puede ser considerada como tal si tenemos en cuenta que equipos limitados de ingenieros (por mucho que queramos, siempre tendrán un potencial máximo debido a los presupuestos y al talento disponible) tienen que enfrentarse a diario a miles, cientos de miles, de ciberdelincuentes de un espectro tan amplio que apenas podemos alcanzar a comprender: desde hackers anónimos que piratean sistemas por placer y autosuperación hasta hackers éticos, pasando por los crecientes grupos organizados de cibercriminales o los actores patrocinados por estados.
Por eso, y como hicieran Aníbal o Julio César, si en una guerra no puedes vencer por tus recursos, la única opción que queda para ganar es reinventar la estrategia. Y, en la arena de la seguridad informática, ese nuevo prisma pasa por pedir ayuda. Pedir ayuda a toda la comunidad de desarrolladores, programadores, aficionados a las TIC y hackers al servicio del bien.
Solo así, mediante la colaboración de cientos de miles de otros expertos en la materia se pueden igualar las fuerzas en el campo de disputa. Ese es el pensamiento imperante no ya de pequeñas compañías sin recursos, sino de las principales multinacionales del sector digital. Aunque en esta filosofía falta una pequeña (importante) pata: nadie hace las cosas por la cara en nuestros tiempos.
Surgen así los programas de recompensa para aquellos sujetos que encuentren errores de seguridad en los servicios online más habituales en nuestras vidas. Iniciativas que incentivan a la comunidad a buscar proactivamente errores y vulnerabilidades con premios económicos (aunque a veces se emplean regalos físicos, vales descuento o millas de vuelo) para que las propias empresas puedan resolverlos antes de hacerse públicos o de que algún ciberdelincuente pueda aprovecharse de ellos.
Estos programas (conocidos en inglés con el nombre de ‘bug bounty programs‘) ya han sido confirmados por los expertos como opciones más económicas y eficientes para contrarrestar el empuje de la ciberdelincuencia. Así lo asegura, por ejemplo, un informe de la Universidad de California-Berkeley, el cual sopesa su utilidad frente al modelo tradicional de equipos internos + consultores externos puntuales.
Con todo, estos programas de recompensas -pensados inicialmente como unincentivo a actividades puntuales de investigación de seguridad– han acabado por convertirse en una fuente de ingresos tan suculenta que hay auténticos profesionales del sector que se dedican única y exclusivamente a encontrar errores en el software de terceros para cobrar sus jugosas primas. Son auténticos cazarrecompensas de la era moderna, mercenarios al servicio del bien (al menos, por ahora). Y no es para menos: las pagas que algunas firmas ofrecen por cada vulnerabilidad comunicada son auténticamente jugosas. Como para pensárselo como carrera laboral a tiempo completo.
Google: de las más generosas
Una de las compañías más activas en estas lides es Google. El popular lleva confiando en la comunidad desde 2010 para detectar fallos en sus servicios más populares. Tan sólo en 2017, la multinacional de Larry Page y Sergey Brin repartió más de 2,9 millones de dólares en recompensas a 274 investigadores de 60 países de todo el mundo.
En total, estos profesionales de la seguridad detectaron nada menos que 1.230 vulnerabilidades que la compañía pudo resolver antes de que ningún malintencionado pudiera hacer uso de ellas. Por áreas de negocio, 1,1 millones de dólares fueron a parar a cazarrecompensas que buscaron fallos en Android, más de un millón a aquellos que explotaron los productos de Google (como el buscador o Gmail), mientras que el resto fue a parar a vulnerabilidades de Chrome y Chrome OS.
Google Play
Más allá de su programa de recompensas principal, Google también tiene una iniciativa específicamente pensada para buscar errores en las aplicaciones más populares de su tienda móvil.
Realizada junto a HackerOne y con la participación de los propios desarrolladores, esta propuesta ya ha premiado a aquellos cazarrecompensas que han encontrado vulnerabilidades en apps como Alibaba, Tinder, Snapchat o Dropbox. Eso sí, los premios en este caso son mucho menores que si los errores fueran en servicios oficiales de Google: apenas 1.000 dólares por cada error, además de que tan sólo se reconocerán aquellos agujeros que permitan la ejecución remota de código en dispositivos Android 4.4 y superior.
Netflix
El principal proveedor de vídeos en streaming no podía permanecer ajeno a esta clase de programas comunitarios de lucha contra el mal cibernético. En un inicio, Netflix lanzó su programa de recompensas de forma limitada, cerrado tan sólo a unos cuentos expertos en seguridad escogidos por la propia compañía, pero pronto se dio cuenta de que necesitaba de la lucha ciberarmada de cuantos más ‘soldados’ mejor.
Por eso, actualmente cualquiera puede comunicar una vulnerabilidad a esta firma y obtener, de demostrarse la misma, pagos que van desde 100 hasta 15.000 dólares, en función de la gravedad del incidente. Asimismo, Netflix se compromete a solucionar cualquiera de estos fallos en un plazo de siete días tras su comunicación.
Intel: evitar nuevos ‘Spectre’ y ‘Meltdown’
El mayor fabricante de procesadores del mundo, Intel, recientemente ha sido protagonista desgraciado de dos importantes agujeros de seguridad, los conocidos como ‘Spectre’ y ‘Meltdown’.
Para evitar que estos sucesos se repitan de nuevo, la compañía cuenta con un programa bug bounty que premia hasta con 100.000 dólares cualquier fallo de seguridad, aunque si la vulnerabilidad es tan crítica como los dos ejemplos antes mencionados el pago puede ascender hasta 250.000 dólares por cada amenaza detectada.
Apple
Apple también ha abierto su programa de recompensas a todo el público general, en septiembre del pasado curso, especialmente pensando en potenciales vulnerabilidades de iOS, su sistema operativo móvil que montan tanto los iPhone como los iPad.
¿Cuánto pagan Tim Cook y los suyos por cada fallo encontrado por un cazarrecompensas? Hasta 200.000 dólares en los casos de mayor gravedad.
Microsoft, la veterana
Como el sistema operativo más extendido en todo el mundo, Windows es objetivo de millones de ciberatacantes a diario. Motivo más que suficiente para que Microsoft tenga uno de los programas de recompensas más longevos y extraordinariamente bien dotados del sector.
En concreto, los de Redmond pagan hasta 250.000 dólares a los investigadores que detecten los agujeros de seguridad más graves, no sólo en Windows sino también en tecnologías como Hyper-V, Windows Defender o Microsoft Edge. Eso sí, los pagos más habituales oscilan entre 1.000 y 30.000 dólares, nada mal en cualquier caso para ganarse la vida.
Kaspersky Lab
Kaspersky Lab reconoce con hasta 100.000 dólares la detección de errores muy graves en sus productos. Lo hace a través de HackerOne y se buscan agujeros relacionados con la ejecución remota de código a través del sistema de actualización de la base de datos del antivirus o el lanzamiento de malware aprovechando los permisos privilegiados de estas soluciones.
Si las vulnerabilidades están relacionadas con otros aspectos las primas oscilan entre los 5.000 y los 20.000 dólares.(TB).