El mundo de la ciberseguridad y el hacking ha cambiado mucho en los últimos tiempos. Sobre todo, la tópica imagen del hacker de hace varias décadas; un concepto que ha evolucionado rápidamente dentro de la industria informática y de la ciberseguridad.
A principios de los 90, una tendencia empezaba a tomar fuerza: la de las grandes compañías que, lejos de temer a los expertos en crear brechas de seguridad, decidían contratarlos para hacerlos responsables de su ciberseguridad empresarial. Porque si no puedes con tu enemigo, ya sabes, únete a él.
Precursores del bug bounty
En 1995, Netscape decidió llevar más allá esta tendencia. En pleno auge de su Netscape Navigator 2.0 Beta, la compañía animaba a desarrolladores de todo el mundo a encontrar errores de seguridad en su navegador. No se trataba de algo altruista ni realizado por mero entretenimiento: Netscape ofrecía una recompensa económica a los que abriesen las posibles brechas.
Este hecho, que puede considerarse una mera anécdota, acabó desembocando en una práctica de lo más interesante. Y es que, sabiéndolo o sin saberlo, Netscape acababa de inventar el bug bounty, una iniciativa mediante la que las compañías deciden lanzar certámenes oficiales en los que animan a los mayores expertos en seguridad informática a encontrar fallos de seguridad en sus sistemas.
Empresas de ciberseguridad y gigantes tecnológicos
Pasaron bastantes años hasta que Netscape se encontrase con otra empresa que hiciese lo mismo, pero en 2002 se abrió nuevamente la veda: iDefense lanzó su programa de bug bounty, mientras que la Fundación Mozilla o TippingPoint se fueron animando en los años sucesivos. Todos ellos con recompensas de entre 400 y 500 dólares en efectivo para quienes rompiesen su ciberseguridad empresarial a través de un ejercicio de pentesting, basado en el ataque a diversos entornos informáticos precisamente para descubrir vulnerabilidades y reportarlas.
A día de hoy, este tipo de citas son obligadas en entidades de ciberseguridad como CanSecWest, pero también en todo tipo de gigantes tecnológicos como Google (que pagó casi 3 millones de dólares en recompensas en 2017), Facebook, Dropbox, Tesla o incluso Microsoft. Las recompensas también han subido: en la actualidad, un programador que sea capaz de romper las brechas de seguridad y encontrar estos errores puede cobrar, en el mejor de los casos, hasta 500.000 dólares.
La cosa ha llegado hasta tal punto que, al margen de compañías concretas, hay iniciativas pioneras y globales que trabajan en este sentido. El caso más conocido es el de HackerOne, la plataforma que se encarga de analizar las posibles brechas de seguridad de grandes empresas como Airbnb, GitHub, General Motors, Nintendo o incluso de entidades públicas como el Departamento de Defensa de Estados Unidos.
Un ejército de cazatalentos
Para muchas de estas empresas y los participantes que las desafían, de hecho, a veces la recompensa económica es casi lo de menos. Y es que en muchas ocasiones los eventos de bug bounty sirven como una perfecta cantera para que este tipo de compañías fichen a los mejores expertos en ciberseguridad que aún no han sido descubiertos por la industria, con lo que el sueldo del nuevo puesto de trabajo puede llegar a ser bastante más atractivo que la tradicional recompensa económica.
Además, a muchas empresas tecnológicas estos certámenes, lejos de mostrarlas como compañías débiles en ciberseguridad, les supone un verdadero impulso publicitario y de marketing, sobre todo a la hora de abrirse a la comunidad hacking y fomentar una cultura de ciberseguridad responsable.
Hacking ético
Y es que no hay que olvidar un factor clave: el bug bounty no parte de una filosofía malintencionada ni del anhelo por echar abajo la ciberseguridad de una compañía, sino precisamente al contrario: la premisa básica es la de encontrar fallos, reportarlos y contribuir, entre todos, a la seguridad informática de las compañías que realizan este tipo de eventos.
La popularización del bug bounty, en definitiva, es la prueba más evidente del cambio de mentalidad de muchas organizaciones empresariales: si antes se solía responder con una querella a los que reportaban estos fallos, ahora se premia la búsqueda activa, prudente y ética de este tipo de problemas. Todo sea por luchar, entre todos, por el futuro de la ciberseguridad empresarial de las corporaciones.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
