Tabla de contenidos
Las recompensas por errores permiten que las personas que descubren fallas de seguridad en el software y los servicios informáticos sean recompensadas con dinero. Entonces, ¿qué se necesita para ser un cazarrecompensas de insectos? ¿Puedes ganarte la vida haciéndolo?
¿Qué son los programas de recompensas por errores?
El software y los servicios que usamos todos los días están escritos por seres humanos, a menudo bajo presión para poner en marcha su código para que la empresa pueda ganar dinero. Si bien los métodos modernos de desarrollo de software dan como resultado un software con muy pocos problemas graves, no hay forma de que un pequeño grupo de desarrolladores prevea todas las posibilidades o vea cada error.
Compare esto con el ejército de piratas informáticos que buscan cada grieta posible en la armadura de ese código, y está claro por qué los programas de recompensas por errores son necesarios. Estos programas ofrecen una recompensa a las personas que descubren una vulnerabilidad creíble u otro tipo de problema calificado en las aplicaciones y los servicios proporcionados.
¿Quién puede reclamar las recompensas por errores?
En principio, no importa quién descubra una vulnerabilidad o un exploit. Lo importante es que la empresa lo sepa y arregle el problema antes de que provoque un daño real. En la práctica, las recompensas por errores suelen ser reclamadas por investigadores de seguridad profesionales. Estos son especialistas que intencionalmente intentan encontrar debilidades en los sistemas y reciben recompensas pagadas o por adelantado para hacer » pruebas de penetración » para una empresa.
Eso no significa que no pueda informar uno si lo encuentra, pero debe buscar los requisitos para el envío y ver si tiene la información técnica necesaria para informar el problema.
Los programas Bug Bounty no son todos iguales
El proceso para reclamar una recompensa por errores y lo que lo califica para recibir el pago difiere de un programa a otro. La empresa en cuestión establece las reglas de lo que considera un problema por el que vale la pena pagar. También establecerá el formato adecuado para informar ese problema, junto con todo lo que necesita saber para replicar y verificar el problema.
La cantidad de dinero que vale un informe verificado también será diferente. Algunas empresas son enormes, con grandes presupuestos para seguridad. Otros son pequeñas empresas o nuevas empresas que dependen de los programas de recompensas por errores para compensar su complemento de personal de seguridad cibernética permanente relativamente pequeño. En ese caso, las recompensas podrían ser más modestas.
Dónde encontrar programas de recompensas por errores
El primer lugar para comprobar si se encuentra con una vulnerabilidad notificable es el sitio web de la empresa que fabrica el producto u ofrece el servicio en cuestión. Por lo general, solo las empresas muy grandes ejecutan y administran sus propios programas de recompensas por errores.
Es más probable que los equipos más pequeños utilicen servicios especializados de recompensas por errores. Por ejemplo, la lista de programas de recompensas por errores de HackerOne promueve programas de varias empresas que se administran a través del sitio.
¿Cuánto pagan las recompensas por errores?
Si visitó la lista de recompensas por errores de HackerOne vinculada anteriormente, es posible que haya notado que cada programa enumera una cantidad mínima de recompensa. Si abre uno de los programas, verá estadísticas sobre el pago de recompensa promedio, así como los niveles de recompensa, según la gravedad de la vulnerabilidad.
Los problemas de gravedad baja, media y alta pueden generar entre unos cientos y miles de dólares, mientras que las vulnerabilidades críticas pueden generar varios miles de dólares.
Ha habido algunas recompensas verdaderamente asombrosas pagadas a lo largo de los años y ofertas masivas , pero estas son algo así como ganar la lotería. Tienes que ser el que encuentre un exploit uno en un millón y tiene que estar en el sistema de un gran jugador que tiene ese tipo de efectivo. Si desea ganarse la vida con las recompensas de errores, es más probable que obtenga un ingreso constante de pequeños errores comunes que surgen a través de pruebas de penetración sistemáticas.
