¿Te gustan las películas del oeste? Si es así seguro que te vienen a la cabeza los famosos cazarrecompensas, que se dedicaban a pescar a los malos a cambio de una recompensa económica que podía ser de lo más golosa. Pues bien, los bug bounties siguen un poco esa lógica —pero aplicándola al mundo moderno; al entorno digital y tecnológico—. Básicamente un bug bounty es una recompensa económica que se da a algunos hackers éticos por descubrir las vulnerabilidades de seguridad de un determinado software o un determinado sistema informático. Se trata de un fenómeno cada vez más común y atractivo en empresas que buscan ir un paso más allá en la identificación de fallas de seguridad en las herramientas tecnológicas con las que trabajan, y en muchos casos, de las que dependen para sus actividades. Veamos en un poco más de detalle cómo surgen estas recompensas y cómo funcionan.
Vivimos en un mundo cada vez más digital y conectado, y la ciberseguridad se está convirtiendo en una faceta esencial para cualquier empresa moderna. Las amenazas de seguridad en el entorno digital son cada vez más comunes y cada vez más sofisticadas, y pueden poner en riesgo las actividades y la reputación de las entidades que no sepan protegerse adecuadamente ante ellas. Por esta razón, muchas empresas, desde hace unos años, están implementando mecanismos de blindaje cada vez más especializados para hacer frente a estos peligros. Los bug bounties son una nueva modalidad en este sentido, por la cual se echa mano de la figura especializada en cuestiones de seguridad online: el hacker. A través del bug bounty, las empresas compensan económicamente a los hackers que decidan lanzarse al reto cada vez que éstos encuentran un virus o una vulnerabilidad en sus sistemas. Es una estrategia de seguridad especialmente común entre los desarrolladores de software o aplicaciones.
La forma de organizar estas investigaciones puede ser muy distinta, y otorgar más o menos flexibilidad y campo de acción a los hackers. Una empresa puede determinar, por ejemplo, los límites entre los cuales el hacker puede inspeccionar en busca de vulnerabilidades y establecer la manera de realizar los test de control correspondientes. El presupuesto dependerá, como es lógico, de cada empresa y de cada caso particular, pero normalmente, cuanto más importante es la vulnerabilidad que se descubre, o lo que es lo mismo, cuanto más grande pudiera ser el impacto de esa vulnerabilidad en el sistema, más alta será la recompensa a pagar (¡estas pueden ir desde los miles de dolares hasta los millones de dolares!). Muchas compañías, incluidas algunas muy grandes, han confiado en estos mecanismos para atajar la cuestión de la ciberseguridad y mantener a sus sistemas y a sus clientes a salvo. Shopify, Yelp o el reciente programa de recompensas de ExpressVPN son ejemplos de ello. Los primeros, por ejemplo, ofrecen hasta $30,000 a hackers que sean capaces de descifrar vulnerabilidades críticas en sus sistemas, y han invertido ya cerca de 1,600,000 dólares en este tipo de programas, mientras que la empresa de seguridad ha subido las recompensas hasta 100.000USD en esta nueva edición.
El hacker, además, no solo se dedica a desenmascarar el virus o la vulnerabilidad, sino que también suele ofrecer detalles y dar claves para ayudar a los desarrolladores a lidiar con el problema. Se trata de una manera de supervisar la seguridad de un software muy interesante para una empresa, pero también ofrece grandes perspectivas para el hacker, no solo por la recompensa económica que podrían recibir, sino también porque encontrar vulnerabilidades y virus importantes es la base sobre la cual construyen su reputación y su reconocimiento.
Como podemos ver, se trata, sin duda, de un entorno lucrativo en el que muchos profesionales de la informática y la ciberseguridad pueden encontrar un filón a través del cual conseguir unos ingresos importantes, solucionando, a su vez, fallos en la seguridad de empresas que, sin su ayuda, podrían ver sus sistemas seriamente comprometidos.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.