Un programa de recompensas por fallos ayuda a los sitios web, servicios y organizaciones a encontrar problemas (fallos y vulnerabilidades) en sus ofertas.
Pero, ¿cómo se consigue? ¿De qué se trata? ¿Por qué los tienen las organizaciones?
Aquí hablaremos de ello, junto con una lista de plataformas de recompensas por fallos creadas por algunas de las mayores empresas tecnológicas del mundo.
¿Qué es un programa de recompensas por fallos?
Un programa de recompensas por fallos recompensa a los investigadores independientes y a los hackers éticos cuando encuentran un fallo o una vulnerabilidad de seguridad en un servicio/sitio web.
Un programa de recompensas por fallos es un lugar perfecto para que los investigadores de seguridad o los hackers pongan a prueba sus habilidades. Da la sensación de que se trata de una competición pública y de que se puede ganar dinero con sus habilidades.
Según sus actividades, podría acabar siendo un trabajo a tiempo completo para usted. Y, para algunos, puede ser un gratificante trabajo secundario.
Por lo general, estas plataformas ofrecen grandes premios en metálico si denuncia un problema grave en su servicio.
También es importante tener en cuenta que existen dos plataformas de recompensas por fallos diferentes. Algunas empresas prefieren crear su propia plataforma, mientras que otras utilizan plataformas de bug bounty de terceros ya existentes para añadir objetivos/tareas a cambio de la mencionada recompensa.
Sin embargo, algunas sí tienen una serie de requisitos mínimos para que un informe cumpla los requisitos. Por lo tanto, no todos los fallos de los que informe le harán ganar recompensas.
Sería útil que revisara las normas o directrices de un programa de recompensas por fallos antes de decidirse a invertir tiempo en él.
¿Por qué las organizaciones tienen plataformas de recompensas por fallos?
Ahora ya sabe que un programa de recompensas por fallos permite a cualquier organización involucrar a investigadores de seguridad independientes (o a profesionales que no emplean directamente) para encontrar fallos y vulnerabilidades en su producto/sitio web.
Pero, ¿por qué es necesario un programa de recompensas por fallos para las grandes empresas?
¿No disponen ya de empleados cualificados que lo mejoran constantemente?
Técnicamente, sí. Pero, el objetivo de crear una plataforma de bug bounty es que más investigadores de seguridad auditen o prueben su servicio (de forma gratuita).
Exactamente.
Toda la comunidad de hackers e investigadores éticos prueba sus servicios y les da su opinión a través de informes.
No tienen que pagar nada por adelantado por su trabajo.
La empresa sólo paga una recompensa (a menudo lucrativa) cuando un individuo envía un fallo o informe de seguridad válido.
En general, un programa de recompensas por fallos es rentable para que las empresas mejoren su producto, y es igualmente gratificante para los hackers éticos y los investigadores.
Por tanto, se trata de un escenario en el que todos salen ganando.
Los mayores programas de recompensas por fallos
Existen innumerables programas de recompensas por fallos en todo el mundo. Aquí nos ceñimos a algunos de los programas más destacados que existen.
Tenga en cuenta que cada programa tiene reglas diferentes para la elegibilidad y las recompensas. Algunos ofrecen recompensas y reconocimiento para problemas basados en software y otros para hardware. Por lo tanto, asegúrese de comprobar los criterios de elegibilidad, las normas de los informes de calificación y el tipo de vulnerabilidades que pueden optar al premio.
Recompensa de seguridad de Apple
Apple SecurityBounty es una de las mayores plataformas para hackers éticos. Ofrece recompensas de hasta 1.000.000 de dólares (un millón de dólares) por diversos problemas de seguridad en iCloud y sus smartphones.
No sólo se limita al premio de la recompensa, sino que involucrarse con Apple teniendo un informe exitoso debería darle un buen reconocimiento público por su trabajo.
También igualan los pagos de las recompensas a algunas organizaciones benéficas que cumplen los requisitos, lo cual es bueno.
Meta Bug Bounty
Meta, antes Facebook, también tiene su programa de recompensas por fallos, también conocido como Whitehat.
El dinero de la recompensa puede llegar hasta los 45.000 dólares. Según la gravedad del fallo, el dinero del premio puede ser mucho más (o mucho menos).
Meta publica el nombre de todos los investigadores de seguridad para darles las gracias. Puede encontrar créditos a investigadores desde 2011 y anteriores.
Además, también ofrecen un programa de fidelidad que le ayuda a multiplicar sus recompensas (hasta un 20%) y a ganar viajes patrocinados/viajes a eventos de hackers de Meta.
Cazadores de bugs de Google
Elprograma de recompensas Bug Hunters le permite informar de problemas en varios dominios/servicios de Google (YouTube, Blogger, etc.)
Las recompensas pueden llegar hasta los 30.000 dólares y más por informes especiales.
También cuentan con una plataforma de aprendizaje en la que puede tomar inspiración/objetivos de ejemplos existentes y aprender sobre la marcha.
Microsoft Bug Bounty
Elprograma de recompensas por fallos de Microsoft ofrece amplias oportunidades para contribuir y obtener reconocimiento por su trabajo.
Las recompensas pueden llegar hasta 1 millón de dólares o más según la gravedad y el tipo de informe.
Recompensas por fallos de seguridad de Mozilla
El programa de seguridad de Mozilla es una plataforma apasionante para los investigadores. Aunque no revelan públicamente las expectativas de premios en metálico, usted obtiene su nombre en un listado del salón de la fama.
A diferencia de otros, Twitter utiliza una plataforma de recompensas por fallos de terceros para permitir que los investigadores se unan. La recompensa mínima comienza en 280 dólares y puede llegar hasta 20.000 dólares.
También incluye un salón de la fama en la plataforma HackerOne para dar las gracias a los investigadores que cumplen los requisitos.
Uber
Elprograma de recompensas por fallos de Uber también se basa en HackerOne, donde puede conseguir hasta 15.000 dólares por informes críticos y obtener su nombre en el salón de la fama.
Tesla
El programa de recompensas por fallos de Tesla se puede encontrar en Bugcrowd, otra plataforma de recompensas por fallos de terceros.
Las recompensas pueden llegar hasta los 15.000 dólares por vulnerabilidad según los criterios de elegibilidad.
Intel Bug Bounty
El programa de recompensas por fallos de Intel puede encontrarse en la plataforma initigriti. Es una oportunidad de recompensa para los investigadores que encuentren problemas de software, firmware y hardware de Intel.
Las recompensas pueden llegar hasta los 100.000 dólares.
Centro de respuesta de seguridad de Tencent
Elprograma de recompensas por fallos de Tencent cubre varios activos como WeChat, QQ, el sitio web de Tencent, dominios y otras aplicaciones de su propiedad.
Puede que las recompensas no sean las más altas, oscilando hasta los 3.800 dólares por las revelaciones esenciales; lo que sí se obtiene es un tablón del salón de la fama.
Programa de recompensas de Samsung
SamsungRewards Program es el programa de recompensas por fallos para los productos móviles de Samsung.
Si su informe cumple los requisitos, la recompensa puede llegar hasta los 2.000 dólares y más según la gravedad del problema. Aunque puede informar de ello a través de su sitio web oficial, confían en Bugcrowd para procesar los pagos y ponerse en contacto con el investigador.
Cisco Meraki
El producto/oferta de Cisco que se ocupa de WiFi, enrutamiento y seguridad controlados desde la nube y orientados a la empresa utiliza Bugcrowd para su programa de recompensas por fallos. Teniendo en cuenta que se trata de una oferta especializada, el trabajo/las habilidades necesarias para descubrir problemas pueden ser desafiantes o emocionantes.
Las recompensas pueden llegar hasta los 10.000 dólares por problemas graves.
Recompensas por fallos de Netflix
Elprograma de recompensas por fallos de Netflix también se puede encontrar en Bugcrowd, donde enumeran todos sus dominios/servicios que pueden ser objeto de pruebas/informes.
Las recompensas pueden llegar hasta los 20.000 dólares por vulnerabilidad.
PayPal
El programa de recompensas por fallos de Paypal utiliza la plataforma HackerOne. Además, necesita tener habilitada la autenticación de dos factores para poder participar.
Las recompensas pueden llegar hasta 20.000 dólares por informes de vulnerabilidades críticas.
Intuit Bug Bounty
Intuit, la empresa detrás de productos como QuickBooks, TurboTax, Mint, etc., ofrece la posibilidad de enviar un informe mediante un formulario en su página web oficial y también en HackerOne.
Con HackerOne, el programa de recompensas por fallos es privado. Por lo tanto, tendrá que acceder a su cuenta para verificar y participar.
Shopify
Al ser una de las plataformas de comercio electrónico más populares, el programa de recompensas por fallos de Shopify en HackerOne puede pagar hasta 50.000 dólares de recompensa por una vulnerabilidad grave.
Alibaba
El programaBugBounty de Alibaba cubre la mayoría de los sitios web/servicios de su propiedad. Puede enviar el informe de vulnerabilidad desde su sitio web oficial y esperar recompensas de hasta 2.500 dólares.
Soundcloud
Soundcloud, una de las mayores plataformas de audio abiertas, ofrece un programa de recompensas por fallos basado en Bugcrowd con recompensas de hasta 4500 dólares en caso de informes de vulnerabilidades graves.
Con bugcrowd obtendrá el habitual salón de la fama.
Airbnb
Airbnb ofrece recompensas de hasta 15.000 dólares a través de la plataforma de recompensas por fallos HackerOne. También lleva a cabo promociones para animar a los hackers a trabajar en nuevas vulnerabilidades críticas al tiempo que ofrece una bonificación del 50%.
Booking.com
Booking.com no revela ningún detalle en particular (excepto los dominios elegibles) en HackerOne.
Puede ponerse en contacto con su equipo de seguridad a través del programa de ayuda a la divulgación de HackerOne.
Xiaomi
Xiaomi utiliza HackerOne para su programa de recompensas por fallos. El programa cubre varios servicios para los investigadores e incluye recompensas y bonificaciones especiales además de un premio de hasta 8.000 dólares por una vulnerabilidad crítica en sus productos comerciales.
Square
Square es una aplicación de punto de venta disponible para smartphones. Por cualquier informe de vulnerabilidad grave para su aplicación/sitio web, ofrece hasta 5.000 dólares como recompensa a través de su programa de recompensas por fallos en Bugcrowd.
Nintendo
El programa de recompensas por fallos de Nintendo permite encontrar problemas que permitan a los jugadores hacer trampas, piratear los juegos y otros problemas técnicos.
Las recompensas pueden llegar hasta los 12.000 dólares.
Coinbase
Coinbase es una plataforma dominante de intercambio de criptodivisas. Ofrece un programa de recompensas por fallos a través de HackerOne que ofrece recompensas de hasta 50.000 dólares.
Cloudflare
Cloudflare ofrece la mayoría de los servicios importantes que ayudan a las empresas de Internet a proteger y mejorar sus ofertas en la web. Su programa de recompensas por fallos en HackerOne describe varios problemas que un investigador puede buscar, junto con enlaces a toda la documentación necesaria.
Las recompensas pueden llegar hasta los 3.000 dólares por problemas graves.
ExpressVPN
El programa de recompensas por fallos de ExpressVPN es posiblemente el mayor entre otros proveedores de servicios VPN.
Junto con las recompensas habituales de hasta 2.500 dólares, también ofrece una bonificación única de hasta 1.000 dólares si es usted el primero en informar de una vulnerabilidad de ejecución remota de código o de algo que filtre las direcciones IP de los clientes.
La caza de bugs, recompensas y reconocimiento
Teniendo en cuenta que un programa de recompensas por fallos ofrece a los hackers éticos un campo de juego para poner a prueba sus habilidades, parece una buena idea para que cualquier investigador independiente y la empresa mejoren sus ofertas.
Es increíblemente importante seguir las reglas/directrices mencionadas en el programa de recompensas por fallos. Si no cumple los criterios, perderá el tiempo y su informe no podrá optar a una recompensa.
También puede interesarle Campos de entrenamiento para hackers éticos.