bounty program

 

Los ‘bounty programs’, o programas de recompensa, empezaron a generalizarse entre las grandes empresas de tecnología después de que gigantes como Mozilla o Google tomaran la iniciativa. Facebook y PayPal fueron algunas de las compañías que siguieron su ejemplo y crearon programas para premiar a aquellos usuarios – normalmente expertos -, que descubrieran fallos de seguridad en sus productos. Otras reconocen la labor, pero sin pasta de por medio.

¿Cuál es la filosofía? Que sean los que utilizan habitualmente sus webs y aplicaciones los que encuentren sus vulnerabilidades. Tal es hoy en día la importancia de reconocer estos fallos que muchas empresas destinan grandes sumas de dinero a agradecer los servicios de aquellos que, en principio por amor al arte, se dedican a sacarles los colores.

El beneficio es mutuo. La compañía puede desarrollar ‘parches’ para arreglar esos problemas – evitando otros mayores, que podrían provocar graves perjuicios económicos – y quien ha logrado detectarlos se lleva, por su parte, un buen pellizco. Además, incluso cuando no hay dinero de por medio, el ‘hacker’ aspira al reconocimiento y la fama en el mundillo de la seguridad informática.

Eso sí, para sacarle un fallo a estos gigantes hay que ser bastante bueno y no llevar segundas intenciones. En otras palabras, ser un perfecto hacker ético o un investigador de seguridad que dedique gran parte de su tiempo a esta tarea.

 

Google, todo por la privacidad

Google puso en marcha su programa de recompensas en 2010. Los que estén interesados en la compensación económica, pueden buscar agujeros en los dominios google.com, youtube.com, blogger.com y orkut.com; así como en las aplicaciones de Chrome, el navegador desarrollado por la marca. En su apartado de seguridad, la empresa especifica que se considerarán errores, sobre todo, aquellos relacionados con la confidencialidad e integridad de los datos de los usuarios de estos servicios.

Pero, eso sí, en ningún caso el hacker podrá explotar los fallos de forma directa, en el sistema oficial, o atacando a los empleados de la empresa o a otros usuarios de Google, algo que, por otra parte, comparten casi todas las empresas que ofrecen este tipo de incentivos. Las pruebas sólo podrán llevarse a cabo en cuentas propias. Si quieres demostrar un fallo, hazlo sobre tus propias plataformas.

También aclara qué cierto tipo de hallazgos no recibirán una compensación económica, aunque cualquier contribución relevante será reconocida en una lista pública con los nombres de quienes hayan realizado algún aporte.

¿Las cifras que maneja? Van desde los 100 dólares por defectos comunes a los 20.000 por vulnerabilidades altamente sensibles. No está nada mal, ¿verdad? Pues la cosa no se queda ahí, puesto que la retribución podría ser aún mayor si hablamos de fallos verdaderamente graves.

Google Bounty program

 

Por otro lado, Chrome tiene un ‘bounty program’ propio, que funciona de forma independiente. Sus recompensas son, como mínimo, de 500 dólares, pero en la práctica nunca han pagado menos de 1.000 y, si el fallo es grave, asciende a 3133.70 dólares. Como recogen en su página oficial, ya han llegado a otorgar 30.000 dólares en varias ocasiones.

 

Facebook, a la caza de investigadores

El ‘bounty program’ de la red social por excelencia ofrece una recompensa máxima de 20.000 dólares y una mínima de 500. Sin embargo, algunos investigadores han logrado hacerse con más de 100.000 dólares por detectar vulnerabilidades importantes.

Desde que puso en marcha el programa en 2011 hasta abril de 2014, la suma destinada por Facebook a este ámbito asciende a los 2 millones de dólares. De hecho, la cifra aumenta cada vez más rápido. En agosto de 2013, la empresa había desembolsado solamente un millón en recompensas a los que han trabajado para “mantener Facebook a salvo y seguro”. Esa cantidad fue repartida entre 329 personas de 51 países diferentes. Además, según la empresa, dos de los investigadores que encontraron fallos trabajan ahora en Facebook a tiempo completo. ¿Un ejemplo? El brasileño Reginaldo Silva que ganó 33.500 dólares por descubrir una vulnerabilidad RCE que permitía ejecutar código en remoto.

Para determinar la gravedad de cada error, Facebook tiene en cuenta criterios de impacto –si permite acceder a datos privados, borrarlos o modificar cuentas -, la calidad de la explicación – si quien descubre el fallo puede dar detalles sobre él y facilitar instrucciones sencillas sobre cómo se produce -, a cuál de sus servicios afecta – si se trata de la propia Facebook, Instagram o alguna de sus aplicaciones móviles –  y si la vulnerabilidad abre la puerta a descubrir otros errores. Por principio, además, toda investigación es válida hasta que se demuestre lo contrario.

facebook bounty program

Microsoft, el más lento y generoso

En junio de 2013, Microsoft puso en marcha tres programas de recompensa muy jugosos, de hecho, es la firma más generosa en este aspecto, a pesar de que nunca antes había dado reconocimiento alguno a los hackers éticos que encontraban fallos en su software. Sin duda, todo un cambio de actitud.

El programa “Mitigation Bypass” ofrece 100.000 dólares a los que encuentren vulnerabilidades importantes en la última versión de su sistema operativo. Por su parte, el “BlueHat Bonus for Defense” abona hasta 50.000 dólares a los que aporten ideas para solventar los fallos detectados en el programa anterior. En total, 150.000 si encuentras y contribuyes a arreglar un ‘bug’ relevante.

El tercer programa, dedicado a Internet Explorer 11, destinaba 11.000 dólares a localizar defectos en la última versión del navegador. Este programa está cerrado actualmente porque su objetivo era encontrar errores en la versión de prueba, antes de que el ‘software’ fuera publicado.

Solo unos meses después de que la empresa se animara a montar un ‘bounty program’, el investigador de seguridad británico James Forshaw se embolsó una recompensa de 100.000 dólares por su trabajo sobre Windows 8.1. ¡Menudo alegrón para su empresa, que es la que se llevó la mayor parte del beneficio!

microsoft security update

 

Mozilla, el primero y más humilde

La fundación Mozilla no es tan generosa, pero oye, hace lo que buenamente puede. Sus premios por detectar errores graves son de 500 dólares, 3.000 si se trata de vulnerabilidades críticas. Eso sí, también te regalan una camiseta de la marca. Ellos mismos reconocen, en su página oficial, que sus fondos son limitados, por lo que pieden a quienes quieran participar en su ‘bounty program’ que no lo hagan si estaban trabajando con Mozilla en algún otro proyecto cuando detectaron el fallo.

Aunque no es la más dadivosa, esta fundación fue pionera en esto de las recompensas cuando puso en marcha su programa en 2004. Hay quien dice que es por ello que el navegador Firefox es más seguro que Internet Explorer (al menos, hasta que Microsoft se subió al carro). Chris Hofmann, que era director de ingeniería de Mozilla en 2005, estaba convencido de que el ‘bounty program’ era una de las mejores formas de “producir ‘software’ seguro y protegido”.

Desde que arrancó el programa hasta mediados de 2013, Mozilla desembolsó un total de 570.000 dólares en recompensas.

mozilla bounty program

 

Los más ‘tacaños’

No todas las grandes empresas de tecnología ofrecen recompensas económicas a los investigadores. Twitter o Apple son buenos ejemplos. En su página web, Twitter se justifica argumentando que mantener un alto nivel de seguridad online ha sido siempre “un esfuerzo comunitario” y que tiene “la suerte de contar con un enérgico grupo de investigadores independientes en cuestiones de seguridad que trabajan de forma voluntaria” para ayudarles “a detectar posibles problemas”.

No habla en ningún momento de dinero, probablemente porque no lo hay, pero sí publica una lista de perfiles de usuarios que ayudaron a solucionar fallos de la plataforma entre 2010 y 2014.

lista twitter

Lo mismo ocurre con Apple. La firma de la manzana mordida publica en su web la lista de los ‘hackers’ que han notificado vulnerabilidades, pero de momento no se rasca el bolsillo.