En el mundo de la tecnología, es habitual que las compañías premien la labor de todos aquellos usuarios, de un nivel avanzado, que dedican parte de su tiempo a descubrir y revelar fallos de seguridad en sus creaciones.
Algunas no suelen confiar en la eficacia en este tipo de recompensas, pero otro muchas piensan que, visto lo visto, pueden resultar sumamente útiles. No solo para descubrir nuevos errores que pasaron desapercibidos en su día, sino para tener a los expertos de su lado y evitar sobresaltos indeseados.
Tal es el valor de lo que está en juego que la mayor parte de las empresas tecnológicas ponen en marcha programas para recompensar la labor de los investigadores, expertos en la materia, que descubren fallos en sus plataformas. En su día, ya os contamos cómo estaba el panorama de los conocidos como ‘bounty programs‘, recompensas que conceden a los que comunican algún fallo de seguridad. Dependiendo de la compañía – y de la importancia del agujero – será mayor o menor, pero siempre suele caer algo.
Una de las firmas que aún no había desembarcado en este escenario era Twitter. La red social se resistía a recompensar a los expertos que encontraran ‘bugs’ en su servicio.
Sus responsables han fijado 140 dólares (irónica cifra) como la compensación mínima para todos aquellos que encuentren algún fallo de seguridad en Twitter.com, ads.twitter, mobile Twitter, TweetDeck, apps.twitter, así como en las aplicaciones tanto para iOS como para Android.
El montante está lejos de lo que otras compañías destinan a este fin. Los ‘bounty programs’ de empresas como Facebook o Google premian a los usuarios que encuentran vulnerabilidades con sumas que superan los 500 y los 1.000 dólares respectivamente.
Además de en las cifras, el ‘bounty program’ de Twitter se diferencia en una cosa más de los que ofrece la competencia. La red social se ha servido de una nueva plataforma a la que puede acudir cualquier interesado para enterarse de qué ofrece cada compañía.
Se trata de HackerOne, una especie de tablón de anuncios virtual en el que distintas compañías anuncian las novedades de sus programas de recompensas, y donde todos aquellos que buscan aumentar sus ahorros descubriendo estas vulnerabilidades lo tienen mucho más fácil para saber si conviene investigar tal o cual empresa, en función del dinero que haya de por medio.
Esta compañía fue fundada en 2012 por distintos expertos en la materia que anteriormente han formado parte, o incluso dirigido, los equipos de seguridad de empresas como Facebook, Google o Microsoft. Ya en sus anteriores puestos de trabajo se encargaron de coordinar la implementación de programas de recompensa, por lo que conocen muy de cerca en qué consisten. Por eso, han decidido proponer a distintas empresas tecnológicas, ya sean pequeñas, medianas o grandes, encargarse de orquestar todo lo relacionado con sus ‘bounty programs’.
Entre las empresas que han optado por esta alternativa se encuentran Yahoo!, Square, Automattic y 4chan. Aunque, sin poner sobre la mesa las sumas de otras firmas, muchas son las que, al tiempo que se ahorran los costes que entrañan la implementación y la gestión de estos programas de recompensas, pueden rendir cuentas ante sus usuarios de que se preocupan para que no haya ni el más mínimo resquicio en sus barreras de seguridad. Algo que, desde hace algún tiempo, muchos llevaban reclamando a Twitter.
Apple, la más rezagada
La única firma tecnológica de primer nivel que se resiste a lanzar su propio ‘bounty program’ no es otra que Apple. La compañía no ha movido ficha hasta ahora, pese a escándalos como el CelebGate en el que se filtraron fotos de multitud de actrices y modelos, que se encontraban alojadas en iCloud.
Si hubiera existido un programa de recompensas, quizá alguno de los descubridores de este fallo hubiera avisado a los responsables de seguridad de la compañía para alertarles de que un escándalo así podía producirse si no tomaban cartas en el asunto.
Porque, como se suele decir, el dinero no da la felicidad, pero sí ayuda. Por esto, tal vez a modo de lección para Apple, el ‘hacker’ ruso que consiguió descubrir tal agujero en la seguridad del servicio en la nube de la compañía de Cupertino no dudó en vanagloriarse de su hallazgo.
Como el propio Alexey Troshichev reconocía, hubiera advertido a la empresa del fallo que existía en su plataforma siempre que hubiera existido una recompensa. Pero ante la ausencia de ella, se decantó por compartirla en Github, donde otros muchos expertos pudieron aprovechar el fallo para colarse donde no debían y demostrar lo imprescindible que puede llegar a ser un ‘bounty program’.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
