Un programa de bug bounty es un programa ofrecido por plataformas en línea, organizaciones y desarrolladores de software en el que los investigadores pueden recibir un reconocimiento y una compensación económica por informar de fallos de seguridad, en particular de bugs y vulnerabilidades.
Estos programas de gestión de vulnerabilidades permiten a los desarrolladores detectar y corregir los fallos antes de que se hagan públicos, lo que evita que se produzcan abusos generalizados.
Funcionan de forma confidencial, lo que significa que el contenido del informe se comparte con el equipo de seguridad y no se hace público, dándoles tiempo suficiente para encontrar una solución.
Una vez elaborado el informe, el investigador o el equipo de seguridad pueden solicitar su publicación.
A lo largo de los años, muchas organizaciones han introducido programas de recompensas por errores, entre ellas empresas como Facebook, Mozilla, Microsoft, Google, Twitter, Intel, Apple, Tesla, Paypal y Uber.
Las empresas no técnicas, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de Estados Unidos, también han empezado a utilizar programas de recompensas por fallos.
El uso por parte del Pentágono de un programa de recompensas por errores conocido como "Hack the Pentagon" sigue un cambio de enfoque que ha visto a varias agencias gubernamentales estadounidenses invitar a los hackers a participar en el programa como parte de una política general de divulgación de sistemas o vulnerabilidades.
Son muy conocidos los programas del Departamento de Defensa Hack the Army, Hack the Air Force, Hack the Defence Travel System y Hack the Marine Corps.
Otros organismos gubernamentales, como el Ministerio de Asuntos Exteriores finlandés, también se han beneficiado del primer servicio de búsqueda de vulnerabilidades y recompensas en los países nórdicos, coordinado por la empresa finlandesa Hackrfi.
La creación de software seguro también es un reto para los desarrolladores experimentados que entienden los conceptos de seguridad. Dado que la creación de sistemas a prueba de vulnerabilidades es un gran desafío, cada vez más empresas optan por implementar programas de recompensas por errores.
El interés por los programas de recompensas por errores está creciendo, y por una buena razón: son una gran manera de conciliar los intereses de las empresas que necesitan mejorar la seguridad con los de aquellas que están mejor capacitadas para proporcionarla:
Los piratas informáticos ponen a prueba sus habilidades para obtener beneficios y las empresas minimizan los costes porque sólo los que encuentran vulnerabilidades en el programa tienen que pagar por el servicio.
Los programas de recompensas por errores varían en tamaño y cantidad, dependiendo de las vulnerabilidades potenciales.
Según las estadísticas, cada semana se publican alrededor de 2.000 millones de líneas de código y, solo en 2017, se crearon más de 110.000 millones de líneas de código de software.
Bugcrowd, especializada en seguridad colaborativa o crowdsourcing, informó que su programa Bug Bounty recaudó más de 6 millones de dólares en 2017 y que en el 77% de todos los programas Bug Bounty, la primera vulnerabilidad fue descubierta y reportada dentro de las 24 horas siguientes al anuncio del programa.
La plataforma HackerOne informa, entre otros, de los siguientes datos correspondientes al pasado año 2021.
El número de programas de recompensas por errores está creciendo un 34% en todos los sectores.
Los piratas informaron de 66.547 fallos válidos en 2021: un 21% más que en 2020.
El precio medio de un bicho crítico aumentó de 2.500 dólares en 2020 a 3.000 dólares en 2021.
El año pasado, el tiempo medio del sector para remediar una brecha de seguridad se redujo en un 19%, de 33 a 26,7 días.
Los principales CISO y equipos de seguridad de hoy en día utilizan las habilidades y conocimientos de la comunidad de hackers profesionales y comprometidos como estrategia central para las pruebas de seguridad: conocer qué vulnerabilidades se priorizan, cómo se resuelven y el valor que los hackers les dan puede ayudarles a crear o mejorar su programa de pruebas de seguridad.