RISING CYBERSPACE-HOME

Hack cyberspace to make it your home

Dándole al Bug Bounty

On

By

risingonline

In

,

Hoy vengo a hablar del Bug Bounty, de los programas de recompensas por descubrir y reportar el primero vulnerabilidades (para el segundo no hay premio) ya sean abiertos al público general o privados (bajo invitación), así como de las plataformas que se dedican a esto y que median entre los Bug Hunters y las empresas u organizaciones que se suman a estas plataformas de Bug Bounty porque quieren mejorar su posición en seguridad.

¿Cuándo hablamos de recompensas, hablamos de dinero?, ¿Podemos vivir del Bug Bounty? Si sigues leyendo te cuento más y espero aclarar estas cuestiones.

Pero empecemos por el principio, antiguamente y me refiero, hace bastantes años, salvo casos muy concretos, había personas que se dedicaban a buscar vulnerabilidades por el placer de hacerlo, por demostrar sus conocimientos, por curiosidad, por el motivo que fuera y aunque algunos pudieran aprovecharse de ellas, no voy a hablar de esos casos, sino de los que lo hacían con buenas intenciones y reportaban a las empresas u organizaciones lo que habían encontrado y normalmente les explicaban también como remediarlo, era una forma de demostrar sus conocimientos y ponerse a prueba a si mismos.

En algunos casos, las empresas que se tomaban en serio esto de la ciberseguridad, en muchos casos ofrecían incorporar a esas personas a su plantilla y que estas se dedicaran en exclusiva a mejorar la seguridad de sus organizaciones. Por contra, algunas otras negaban lo evidente e incluso se dedicaban a denunciar a estas personas, dado que de hecho en la mayoría de países hoy en día esto es ilegal por lo que de hacerlo (incluso pensando en hacer un bien) pues constituye un delito.

Llegados a este punto y al margen que las empresas realicen pentesting a sus infraestructuras, sistemas y aplicaciones o ejercicios de Red Team simulando actores maliciosos, aquellas en principio que tienen la suficiente madurez a nivel de seguridad recurren a los programas de Bug Bounty en algunos casos privados y gestionados por la propia empresa u organización y desde hace algunos años existen múltiples plataformas que se encargan de la intermediación y la gestión entre las empresas y organismos por un lado y por el otro los especialistas en seguridad ofensiva conocidos como Bug Hunters.

Se sigue manteniendo el tema de los programas privados propios, pero también a través de plataformas, pero antes de hablar de los programas privados, hablemos de los públicos que son aquellos programas en los cuales a priori cualquiera registrado en la plataforma correspondiente puede acceder a ellos y participar buscando vulnerabilidades y reportandolas de la forma correspondiente y obteniendo recompensas que pueden ser de los más variado, pueden ser simplemente reconocimiento y puntos (suelen existir rankings), lo cual hace que puedan invitarte a programas privados y en cualquier caso siempre ayuda a mejorar tú currículum en esta rama de la ciberseguridad, las hay que son de tipo “merchandising”, es decir, de las que te regalan camisetas, sudaderas, tazas o cualquier otro objeto o lote de objetos con publicidad de la empresa u organismo y claro que si, recompensas en dinero, todo esto depende de cada empresa u organismo, así como de la criticidad y/o dificultad de la vulnerabilidad encontrada.

Por lo general, los programas privados atraen a los mejores entre los mejores y suelen ofrecer recompensas más suculentas precisamente para llamar la atención y retener a ese talento realizando pruebas contra sus sistemas y aplicaciones.

Estos programas en todos los casos tienen un scope definido, es decir, contra qué objetivos puedo realizar pruebas y condiciones para poder ser identificados (conexión a VPN propias, inclusión de cabeceras y/o registro de direcciones IP), tipo de pruebas permitidas, etc. etc., en cada caso hay que consultar las condiciones concretas para no infringir dichas reglas, en cuyo caso estaríamos fuera de un escenario autorizado y por tanto podríamos incurrir igualmente en ilegalidad.

Plataformas de Bug Bounty en los últimos años han ido apareciendo bastantes, mencionaré algunas:

  • Yeswehack (la he mencionado la primera porque la conozco), dispone de programas públicos y privados, aparte tienen retos de tipo bug bounty (los llaman DOJOs), pero que no son casos reales, sino ejercicios simulados que monta la plataforma para fomentar el aprendizaje y el entrar en este mundillo y si son resueltos permiten también acumular puntos como Bug Hunter y por tanto aumentar su prestigio.
  • HackerOne
  • DragonJAR a destacar que es una plataforma en español
  • Intigriti
  • Epic Bounties, aunque parece que en estos momentos atraviesa por problemas financieros y ha puesto en pausa su actividad, la he mencionado porqué es española
  • Bugcrowd
  • Open Bug Bounty
  • HackenProof

Seguro que si estáis en el mundillo conocéis muchas más, si me acuerdo de alguna otra la añadiré.

En conclusión, los buenos programas y las buenas plataformas de Bug Bounty benefician tanto a las empresas por la parte de gestión que se evitan, como a los Bug Hunters ya que se encargan de un proceso que puede ser más o menos farragoso por el lado de las empresas si no lo han realizado antes y por el lado de los Bug Hunters que a veces veían rechazados sus hallazgos por personal no cualificado para valorarlo, ahora no es que estas situaciones no se den, pero suelen estar mejor gestionadas y todo está más profesionalizado.

Hay vulnerabilidades que se han llegado a recompensar muy bien económicamente hablando, no voy a dar cifras, aunque tengo en la mente algunas de recientes y muy suculentas. Esto viene a intentar responder la segunda pregunta, ¿se puede vivir del Bug Bounty? Pues sí, hay gente que lo hace, ya sea por lo prolíficos que son encontrando vulnerabilidades antes que otros y por tanto sumando recompensas y por otro lado como se ha comentado anteriormente si encuentras esa vulnerabilidad por la que se ofrecen grandes suma de dinero, pues igual no has de seguir buscando en mucho tiempo si no quieres (aunque lo dudo porque si te dedicas a esto, normalmente es porque te engancha).

Ventajas de dedicarse de lleno al Bug Bounty, no tienes horarios de trabajo, tú eres tú propio jefe y te dedicas a buscar vulnerabilidades cuando y desde donde quieras, con total flexibilidad, si ya has alcanzado lo que necesitas para vivir puedes descansar o seguir formándote, porque no olvidemos que este es un mundo muy cambiante y en constante evolución, por lo que hay que estar al día en cuanto a vulnerabilidades y técnicas de explotación de las mismas, aún así puede ser un mundo muy atractivo y porque no, incluso adictivo. Aunque también hay que tener clara una cosa, esto no es para todo el mundo y no es oro todo lo que reluce, si tu vida depende de esto el nivel de frustración puede ser muy alto, recuerda que debes ser el primero y reportar aquellas vulnerabilidades que no son precisamente fáciles de encontrar, de entrada me atrevería a decir que hay que tener un nivel de conocimientos muy elevado para garantizar que puedas ganarte la vida de esta manera (pero solo expreso una opinión, no es mi intención desalentar a nadie que quiera dedicarse), también es cierto que si te dedicas en exclusivo es más probable que seas tú, quien encuentre esa vulnerabilidad que esta bien recompensada.

¿Sustituye esto el pentesting tradicional o los ejercicios de Red Team?, justo hace unas semanas lo comentaba con expert@s y me decían que no, en mi humilde opinión creo que están en lo cierto, esto puede complementar, de hecho quizá más al pentesting y solo en organizaciones con un nivel razonable de madurez en materia de seguridad en sus infraestructuras, aplicaciones, etc. El caso del Red Team además es algo diferente y tienen un objetivo diferente, no se trata solo de encontrar vulnerabilidades, sino que van más allá de eso (ser sigilosos, eliminar huellas, no ser detectados por las defensas de la organización, el Blue Team, el equipo defensivo), de hecho sirven para emular actores maliciosos, encontrar vulnerabilidades de cualquier tipo y usando técnicas que por lo general no se utilizan en un pentesting tradicional o en un Bug Bounty (ingeniería social, en herramientas, procesos, incluso intrusión física en la organización, etc.), se trata de probar los sistemas de defensa de la organización en cuestión.

En cualquier caso si quieres tener buenos Bug Hunters tendrás que recompensarlos bien para que se dediquen al programa de tú organización, para crear ese efecto llamada para los mejores.

A continuación, dejo un enlace a un donde se habla un poco más del Bug Bounty y aunque tampoco profundiza igual se pueden encontrar detalles que no he mencionado en este Post sobre el tema.

Bug Bounty: Qué es y cómo beneficia a tu empresa | OpenWebinars

Recommended pages

Categories

Archives

Tags

backdoor blue team buenas prácticas Bug Bounty censura ciberataque ciberdelincuencia ciberdelitos ciberestafas ciberseguridad comunidad conferencias CTF deepfakes deep learning defense detect hacking IA legalidad malware news obsolescencia OSINT owasp passwords pentesting privacidad protección protect protocolos protocolos seguros python ransomware redes red team RootedCON supply chain attack tokens vulnerabilidad