Cazadores de bugs: así se puede vivir analizando el código de las empresas

Cazadores de bugs: así se puede vivir analizando el código de las grandes empresas

Todos los programas y softwares informáticos tienen fallos. Lo importante es detectarlos y corregirlos a tiempo. No importa cuánto tiempo se haya pasado haciendo test con programas o sistemas, lo cierto es que, cuando salen al mercado, siempre se reportan fallos. Lo mismo ocurre con las aplicaciones y servicios online: tienen problemas que es necesario solucionar. Por eso, las grandes empresas premian a los cazadores de bugs, que les ayudan a corregir los problemas de sus sistemas y aplicaciones.

Las recompensas más jugosas son aquellas que pueden comprometer la seguridad de los sistemas, por lo que son las que atraen la atención de un mayor número de investigadores. Dentro de ellos existen dos tipos: aquellos que se centran en la búsqueda de problemas con un enfoque muy técnico, y luego están los que tratan de pensar como los malos.

La empresa Bugcrowd dispone de un listado con las principales empresas que ofrecen algún tipo de recompensa y el tipo del que se trata. En este sentido, puede ser una mención de honor o entrar en lo que llaman el “Hall of fame” de la empresa, botín o recompensa, que suelen ser monetarias y dependen de la cantidad ofrecida. Lo cierto es que se suele pagar en función de la importancia de los fallos encontrados.

El hackaton de Google

Google ha presentado recientemente un Hackaton para Android, llamado Project Zero, en el que los investigadores que consigan encontrar vulnerabilidades en el sistema operativo de la compañía optan a un premio de 200.000 dólares. Además, tendrán un premio de 100.000 y 50.000 dólares el segundo y el tercero.

El objetivo es ver hasta qué punto un investigador puede encontrar vulnerabilidades, pero también ver cómo operan los chicos malos a la hora de descubrirlas, qué caminos siguen, etc. Para ello, todos los participantes necesitan entregar un documento técnico que detalle cómo ha encontrado el problema.

Microsoft, su programa Insiders y las recompensas para los cazadores de Bugs

seguridad

Para depurar sus actualizaciones y nuevos sistemas operativos, Microsoft tiene un programa llamado Insiders. Los inscritos en el mismo pueden probar las novedades de la empresa de Redmond a cambio de reportar informes de uso, que servirán para detectar posibles problemas antes de sacarlo a producción. A pesar de este gran programa de betatesters, se pueden producir otros problemas. Insiders está centrado en encontrar bugs que afecten al funcionamiento de sistemas y programas.

La firma desarrolladora de Windows ha recompensado de forma generosa a aquellos que han realizado algún descubrimiento o aportación en materia de seguridad. Ofrece hasta 100.000 dólares a quienes encuentren errores de seguridad que pongan en riesgo su software. Este es el caso de James Forshaw, investigador de la empresa británica Context Information Security, que se llevó la recompensa por encontrar un error que se saltaba algunas protecciones incluidas en la versión previa de Windows 8.1.

Vasilis Pappas, un estudiante que en ese momento era alumno de la Universidad de Columbia, se llevó unos 200.000 dólares al diseñar un innovador prototipo de seguridad para prevenir la explotación de vulnerabilidades de la seguridad de memoria en aplicaciones de Windows.

Facebook también premia a los hackers y cazadores de bugs

intrusion

Facebook ha pagado más de un millón de dólares en recompensas a cazadores de bugs. Un ejemplo de ello es Reginaldo Silva, un ingeniero en sistemas de Brasil que encontró una de las peores vulnerabilidades dentro del software de Facebook, logrando una recompensa de 30.000 dólares.

Esto ocurrió a raíz de la publicación de una carta en el perfil de Mark Zuckerberg por un investigador al que no quisieron pagar por encontrar dicha vulnerabilidad del servicio. Ante tal prueba de concepto, tuvieron que rendirse y aprovechar la disposición de los investigadores que buscan las recompensas. A nivel económico, lo cierto es que un millón de dólares es muy poco para los problemas de imagen que puede tener la empresa en caso de publicarse la vulnerabilidad.

United Airlines paga con millas aéreas reportar bugs

En otros casos las compañías pagan en especie, es decir, en aquello que venden. Así opera United Airlines, que recompensa con millas aéreas, es decir, con viajes gratis, a aquellos investigadores que reportan bugs. La escala va de 50.000 millas para un error de bajo nivel, pasando por 250.000 por informar fugas de datos personales o el salto de autenticación y hasta 1.000.000 de millas por vulnerabilidades más graves.

El cambio de política de Apple en las recompensas a los cazadores de bugs

investigador-seguridad

Un caso llamativo es el de la empresa de Cupertino, que no recompensaba a los cazadores de bugs. Pero recientemente ha cambiado dicha política ofreciendo hasta 200.000 dólares por encontrar problemas de seguridad en sus aplicaciones y sistema. Esto supone para los usuarios una mayor seguridad, ya que las vulnerabilidades que se encuentren tanto en iOS como en su sistema de escritorio serán recompensados adecuadamente y, lo que es más importante, parcheadas.

Lo cierto es que el trabajo del investigador de seguridad tiene mucho que ver con la analítica. La recompensa sólo se ve en el momento de hallar el problema, pero la cantidad de horas que hay detrás analizando código y el comportamiento de los programas es inmenso. Además, en muchos casos el acceso al código fuente de los programas no está disponible para los investigadores, lo que complica también su trabajo.

En Nobbot | La bola de cristal no funciona: estas son algunas predicciones tecnológicas incumplidas
Imágenes | Pixabay 1, 2, 3, 4