Bug Bounty, el mundo del Hacking Ético

23 abril, 2021
9 Compartido 1,263 Visualizaciones

Un programa de Bug Bounty es un “contrato” que una empresa u organización hace con una comunidad de hackers éticos con el fin de que éstos detecten vulnerabilidades en los sistemas y redes de dicha empresa.

Un hacker ético es una persona que usa sus conocimientos avanzados en informática para hacer el bien.

Dicho de otra manera, un programa de recompensas de errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software. Por el cual las personas pueden recibir reconocimiento y compensación por informar errores, especialmente aquellos relacionados con vulnerabilidades y vulnerabilidades de seguridad. Deben lograr encontrar fallos y vulnerabilidades en las diferentes soluciones de software, hardware, página web etc.

Los programas de Bug Bounty son cada vez más desafiantes, a la vez que atractivos en cuanto a la recompensa que proponen. Actualmente, prácticamente todas las compañías importantes del mundo de la tecnología, tienen al menos un programa Bug Bounty para cualquiera que esté interesado en participar.

Los requisitos que deben cumplir son: demostrar la vulnerabilidad, explotarla, documentarla, y no difundirla hasta que esté solucionado por completo. Cumpliendo todos los requisitos tendremos derecho a una recompensa. En la mayoría de los casos, las recompensas son de carácter monetario. Son cantidades de dinero elevadas que motivan mucho a los desarrolladores, hackers éticos o a cualquier persona que tenga las aptitudes necesarias. El pago medio para vulnerabilidades críticas en 2018 fue de 3.384 dólares.

Google anunció un programa de Bug Bounty para sus teléfonos Pixel. En el cual ofrecía hasta 1.5 millones de dólares para quienes encontraran vulnerabilidades críticas. De todas formas, cuando nos iniciamos en esta actividad, no debemos esperar que nuestras ganancias se acerquen a estas cifras de dinero. Estas recompensas se consiguen en un largo plazo, el hacking ético requiere de un proceso evolutivo.

Consejos para iniciarse en el Bug Bounty

  • Adecuarse a las reglas y consideraciones para cada programa. Al contrario, si realizamos alguna actividad que se encuentre al margen de la ley, podemos tener problemas nacionales e internacionales.
  • Dispositivos adecuados. Necesitamos un ordenador de escritorio o móvil, con buena conexión a Internet y el tiempo necesario para comprobar en detalle las vulnerabilidades en los diferentes escenarios.
  • Seguir informándonos. No nos vale con los conocimientos que ya tengamos, si no que debemos seguir formándonos, de esta manera podremos optar por programas cada vez más atractivos en cuanto a la problemática y la recompensa.
  • Empezar poco a poco. Si no tienemos experiencia previa, es mejor comenzar con un solo tipo de vulnerabilidad, y luego comenzar a incorporar nuevas habilidades.
  • No pensar solo en el dinero. Lo más probable es que en un principio no sea posible ganar dinero, o este sea mínimo. Si solo tienes esto en mente, puede que pases por alto ciertos detalles importantes y que no te tomes el tiempo necesario para hacer las cosas de la mejor forma.
  • Hacer reportes claros. Mucha importancia en la elaboración de informes claros que indiquen paso por paso cómo se puede reproducir la vulnerabilidad, y que expliquen el uso que un atacante podría darle a la misma.
  • Tomarse el tiempo necesario. Si has descubierto una vulnerabilidad, es recomendable que dediques el tiempo necesario para intentar ver todos los caminos que la misma abre para un atacante.
  • Tomar la ruta menos usada. Si somos principiantes en el mundo del bug bounty es muy poco probable que encontremos vulnerabilidades en aplicaciones de empresas muy grandes e importantes, que seguramente ya han sido sometidas a la auditoría de muchos otros cazadores de bugs. Es recomendable evitar frustraciones y empezar por donde otros quizás no hayan mirado todavía.
  • Estudia y practica. La única forma de progresar en el mundo del Bug Bounty es dedicando tiempo. Es necesario practicar, leer reportes que hayan elaborado otras personas y estudiar las distintas metodologías.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La actualización del malware Azorult incluye mejoras para robar criptomonedas
Actualidad
21 compartido1,608 visualizaciones
Actualidad
21 compartido1,608 visualizaciones

La actualización del malware Azorult incluye mejoras para robar criptomonedas

Vicente Ramírez - 18 diciembre, 2018

Han descubierto en un foro clandestino una nueva versión de Azorult; un conocido ladrón de información y generador de malware.…

El sector médico es el próximo gran objetivo de los cibercriminales
Security Breaches
15 compartido1,944 visualizaciones1
Security Breaches
15 compartido1,944 visualizaciones1

El sector médico es el próximo gran objetivo de los cibercriminales

Vicente Ramírez - 12 marzo, 2019

La seguridad sigue siendo la asignatura pendiente del sector médico, un entorno donde las consecuencias para los pacientes pueden ser…

Casi la mitad de las empresas españolas declara tener un nivel medio-bajo de protección de su información en remoto
Actualidad
6 compartido1,322 visualizaciones
Actualidad
6 compartido1,322 visualizaciones

Casi la mitad de las empresas españolas declara tener un nivel medio-bajo de protección de su información en remoto

Aina Pou Rodríguez - 28 enero, 2021

La nueva era de trabajo híbrido ha aumentado la necesidad de contar con medidas para proteger los datos corporativos.  Cada…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.