¿Conoces los programas Bug Bounty?

Si te hablamos de cazadores de recompensas,, tal vez pienses en el Lejano Oeste o en películas de aventuras. Sin embargo, este concepto, hoy por hoy, se ha actualizado. Los expertos en programación son los cazarrecompensas del siglo XXI, gracias a los programas bug bounty. ¿Quieres saber en qué consisten? Sigue leyendo porque te va a interesar.

Qué son los bug bounty

Las grandes empresas del mundo de la informatica ofrecen recompensas a las personas que encuentren vulnerabilidades y fallos dentro de sus programas de software, así como en el hardware o en las páginas web, entre otros. El desarrollador no solo debe encontrar ese mal funcionamiento, sino que tiene que demostrar que es así, qué problemas podría acarrear y documentar los pasos que ha dado para hacerlo. Además, se firma un acuerdo, por el cual la persona que haya encontrado el bug no lo difundirá hasta que se haya solucionado. Si se cumplen los requisitos, se tendrá derecho a la recompensa del programa.

Prácticamente, todas las empresas más relevantes del mundo en el sector TIC, como Apple, Microsoft, Facebook, Google, Tesla o Paypal, entre otras, cuentan con programas bug bounty. Estas ofrecen recompensas monetarias de miles (o incluso millones) de dólares para motivar a los mejores hackers éticos, desarrolladores o cualquier persona con aptitudes. Eso sí, suelen contar con un reglamento estricto para poder aplicar (cada uno el suyo), y también una serie de condiciones comunes:

• No hacer nada fuera de la ley.
• Tener ordenador y buena conexión a Internet.
• Formación actualizada (existen cursos completamente gratis, solo hay que hacer una búsqueda en Google).
• Ser consciente de tus limitaciones y empezar por los problemas más sencillos. Así, irás cogiendo reputación y podrás optar a las recompensas más interesantes.

Merece la pena señalar que si las recompensas son importantes es porque los problemas que se han logrado solucionar también lo eran. De este modo, se entiende que las personas que han logrado dar con la vulnerabilidad están muy preparadas y tienen conocimientos extensos sobre el tema. Es decir, no va a ser algo que nos encontremos de manera causal.

¿Y cómo se puede participar en un programa de Bug Bounty?

En Internet existen plataformas dedicadas a ofrecer programas de recompensas. Su modelo de negocio pasa por brindar a las compañías un sistema para poner a prueba sus programas, y así, encontrar vulnerabilidades que les impiden un correcto funcionamiento. Después, cuentan con una red de hackers que serán los que hacen el trabajo y demuestran (o no) las vulnerabilidades del sistema. Algunas de las más conocidas son HackerOne, BugCrowd y AntiHACK.me.

Ventajas y desventajas de bug bounties

Las grandes empresas necesitan de más ojos que les ayuden a encontrar vulnerabilidades en sus programas y equipos informáticos para así poder ofrecer a sus usuarios la mejor experiencia. Por lo general, precisan de profesionales sumamente preparados, y con muchas horas de dedicación, que obviamente, esperan una recompensa excelente por sus servicios.

Para las empresas, la ventaja de este sistema es que pueden contar con profesionales trabajando en las vulnerabilidades y solo van a pagar en caso de que las encuentren y las documenten. Por ejemplo, es muy beneficioso para los hackers, pues lograrán una suma importante de dinero si consiguen dar con el problema.

No obstante, la mayor desventaja viene precisamente por ello. Al ser personal externo, las empresas no pueden asegurar al 100 % que no encontrarán la vulnerabilidad y la utilizarán en su contra. En cuanto a los profesionales, que si no la encuentran, no recibirán un pago por el trabajo.

Aún así, los bug bounties son una opción cada vez más popular. Si eres experto en programación ¿por qué no intentas convertirte en cazarrecompensas?