Un reciente informe del Departamento de Seguridad Nacional de E.U. (DHS) señala que, durante el último año, el programa de recompensa por vulnerabilidades “Hack the DHS” contó con la participación de más de 450 profesionales de la ciberseguridad, quienes encontraron 122 vulnerabilidades, incluyendo 27 errores críticos.
Estos reportes recibieron recompensas por un total de $125,600 USD, otorgando pagos de entre $500 y $5,000 USD por vulnerabilidades explotables verificadas.
Aunque otras agencias federales en E.U, cuentan con iniciativas similares, el DHS fue la primera institución en expandir su programa para la detección y reporte de las fallas Log4Shell en los sistemas de información pública, permitiendo a otras agencias gubernamentales abordar vulnerabilidades no reportadas por otros medios.
La explotación de las fallas en Log4j podría haber resultado desastrosa para estas instituciones, considera Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), por lo que el trabajo de estos investigadores resultó fundamental para evitar un escenario crítico.
Los programas de recompensa son una gran medida para incentivar la participación de los investigadores de seguridad, permitiéndoles el análisis de sistemas informáticos que de otra forma estarían restringidos y dentro de un conjunto de parámetros definidos, aunque esto no significa que no existan detractores.
Los críticos creen que esta clase de programas carecen de mecanismos confiables para evitar que investigadores sin escrúpulos encuentren vulnerabilidades críticas para venderlas a los hackers maliciosos, lo que resultaría para ellos mucho más lucrativo que recibir el monto máximo de recompensa otorgado por el DHS.
Con todo y los riesgos, los directivos del DHS parecen satisfechos con los resultados de esta primera fase del programa; sobre la segunda fase, la Agencia menciona que esta consistirá en un evento de hacking en vivo tal como ya lo hacen otros eventos, mientras que en una próxima tercera fase consistirá en la elaboración de informes sobre los hallazgos derivados del proyecto y su potencial uso en el desarrollo de los próximos programas de recompensas.
Finalmente, el director de información del DHS Eric Hysen, mencionó: “La participación entusiasta de la comunidad de investigadores de seguridad durante la primera fase del programa nos permitió encontrar y remediar vulnerabilidades críticas antes de que pudieran ser explotadas”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.