Concepto Bug Bounty: qué es y por qué lo necesitamos
Autor: Eduard BardajíConcepto Bug Bounty. ¿Te suena? En el artículo de hoy vamos a hablar de éste término y por qué es importante para tu empresa, pero antes, un pequeño apunte.
Si te digo: “todos necesitamos un hacker en nuestra empresa”, seguramente te vas a escandalizar. Pero con hacker me refiero a especialista en ciberseguridad. La palabra hacker en realidad está mal empleada. Siempre se ha utilizado para referirse a ciberdelincuentes, es decir, personas que utilizan la tecnología para lanzar virus (malware) contra sistemas informáticos para conseguir información sensible y pedir una compensación económica a cambio de recuperarla. No obstante, los hackers son los “buenos”, son aquellos expertos IT con conocimientos en seguridad informática, encargados de poner todas las barreras posibles para impedir que ciberdelincuentes (estos sí son los “malos”), puedan acceder a información de manera no autorizada.
Y te preguntarás…
¿Qué tiene que ver el Bug Bounty con los hackers o especialistas en ciberseguridad?
El Bug Bounty es un pacto o contrato que realiza una empresa u organización con una comunidad de hackers éticos, es decir, personas con conocimientos en seguridad informática, para que analicen y encuentren vulnerabilidades en su sistema informático que puedan poner en riesgo su información. Su objetivo es confiar en estos hackers éticos para solventar las brechas de seguridad que puedan tener.
Los hackers éticos son especialistas en ciberseguridad que se dedican a buscar brechas de seguridad a cambio de una recompensa por cada vulnerabilidad encontrada, estos normalmente actúan a título personal, sin estar vinculados a una empresa. Pero también existen hackers como nosotros, que operamos a través de una empresa, ofreciendo servicios sobre ciberseguridad.
Por ejemplo, en ESED nos consideramos hackers, ya que, como especialistas en ciberseguridad nos dedicamos a lanzar ataques controlados e inocuos contra un sistema para conocer exactamente el tipo de vulnerabilidades que tiene y así, solventarlas de raíz con la implementación de soluciones específicas. Es decir, aparte de buscar la vulnerabilidad como haría el hacker ético, además, también, encontramos e implementamos una solución al problema.
Programas de Bug Bounty, no se trata de contratar a una empresa de seguridad informática
Los programas de Bug Bounty son una solución paralela a las empresas dedicadas a la implementación de soluciones de seguridad informática.
Un programa de Bug Bounty está pensado para buscar hackers éticos que, a cambio de una recompensa, quieran encontrar brechas de seguridad y vulnerabilidades en su infraestructura informática.
Así pues, a pesar de disponer de su propio partner o departamento interno de ciberseguridad, se adhieren a estos programas para maximizar su seguridad.
Actualmente existen plataformas de Bug Bounty para la contratación de estos hackers éticos. Las más conocidas son:
También encontramos grandes empresas como AirBnB, Facebook o incluso Google que han creado su propio programa de Bug Bounty.
Es importante tener claro que entrar dentro de un programa de Bug Bounty no te exime de contar también con un partner especialista en ciberseguridad o departamento interno de seguridad informática. Los hackers que actúan como hackers éticos, solo se dedican a buscar vulnerabilidades a cambio de una compensación económica por cada vulnerabilidad encontrada.
En cambio, los hackers especialistas en ciberseguridad y que se dedican a la prevención y protección contra ciberataques, son los encargados de implementar soluciones para minimizar los riesgos de ser ciberatacado. Son aquellos que analizan tu sistema e implementan:
-
Protección para tu correo electrónico (soluciones antiphishing).
-
Gestor de credenciales para evitar el robo de contraseñas.
-
Implementación de Firewalls para detectar amenazas antes de que estas accedan a tu sistema.
-
Endpoints para reducir las amenazas que se han colado en tu sistema, antes de que puedan infectarlo.
Entre otras soluciones de prevención de ataques.
La implementación de estas soluciones es clave para evitar la entrada de malware y la fuga de datos en tu empresa. La contratación de hackers éticos es una acción paralela que puedes llevar a cabo para maximizar tu seguridad. Pero, sin duda, tu objetivo principal debe ser contar con especialistas en seguridad informática que te ayuden a implementar las últimas soluciones tecnológicas para la prevención de ataques.
En ESED además ofrecemos una auditoría gratuita para conocer la seguridad de tu sistema y encontrar las soluciones de seguridad que mejor se ajusten a tus necesidades.