¿Sabes que puedes ganar dinero buscando vulnerabilidades?

  • Reportajes

Aunque el primer programa de recompensas por detectar vulnerabilidades apareció en 1995, ha sido a comienzos de la década actual cuando empresas de la talla de Microsoft, Google, Facebook y Mozilla las hicieron populares. Hace un año alcanzaron todo su apogeo, cuando Google incrementó las recompensas un 50%, Microsoft duplicó su recompensa máxima e Intel empezó a pagar a los investigadores 30.000 dólares por detectar fallos críticos en su hardware.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Los Bug Bounty Programs se ha convertido en un método muy eficaz para detectar vulnerabilidades. Google, Facebook o PayPal son algunas de las empresas que cuentan con este tipo de programas.

Quizá deberíamos iniciar este reportaje definiendo lo que es un Bug Bounty Program, o programa de recompensas por detectar fallos de seguridad: se trata de un acuerdo por el que se recibe un reconocimiento o recompensa por informar sobre vulnerabilidades, especialmente cuando son fácilmente explotables. Estos fallos permiten a los desarrolladores descubrir y resolver un fallo antes de que sea explotado, impidiendo incidentes a gran escala.

Este contenido fue la portada de marzo de IT Digital Security. Puedes descargarte la revista desde este enlace.

La historia de los Bug Bounty Programs arrancó en 1995 de la mano de Netscape, la primera compañía en lanzar un programa de recompensas por detectar fallos de seguridad en la beta de su navegador, Netscape Navigator 2.0. El programa se presentó bajo la idea de que recompensando a los usuarios por identificar e informar, rápidamente, sobre fallos de seguridad a la compañía, no sólo se iniciaba una profunda previsión del producto antes de que fuera lanzado de manera masiva, sino que permitiría a la compañía crear productos de mejor calidad. Fue un gran paso para la mentalidad de la época, que ni siquiera había terminado por aceptar la validez de las propuestas open source, y el anuncio no fue especialmente bien recibido por el resto de fabricantes de software. Aun así, el primer Bug Bounty Program de la historia siguió adelante y no finalizó hasta que se lanzó la versión final del navegador

Hubo que esperar varios años, hasta 2002, para ver algo parecido. Llegó de la mano de IDefense, una compañía que posteriormente compró Verisign, y ofrecía recompensas de hasta 400 dólares por detectar vulnerabilidades en software, convirtiéndose en un intermediario entre el investigador y los proveedores de software.

La explosión de este tipo de programas llegó de la mano de Mozilla en 2004 con su Firefox Bug Bounty, otro programa enfocado en un navegador que ofrecía recompensas de hasta 500 dólares a los investigadores que identificara vulnerabilidades críticas de Firefox, un navegador de código abierto basado en Linux que hoy cuenta con una cuota de mercado de casi el 13%, por detrás de Chrome (59%). El programa, patrocinado inicialmente por Mark Shuttleworth y Linspire, un distribuidor de Linux, sigue activo a día de hoy y expandido a otros productos de la compañía noruega.

Tipping Point, un competidor de IDefense lanzó la Zero Day Initiative, una de las más importantes actualmente. Se trata de otro programa que hace de intermediario entre los investigadores y los fabricantes, y al igual que hiciera IDefense, ofrece recompensas en metálico por la detección de vulnerabilidades. ZDI estuvo en manos de Hewlett-Packard a través de la adquisición de esta última de 3Com en 2010.

El 9 de marzo de 2016 Trend Micro anunciaba la compra de TippingPoint, DVLabas y Zero Day Initiative. Se habló en aquel momento de beneficios mutuos y sinergias en cuanto a productos y experiencia. Además de las soluciones de red integradas y de los sistemas de prevención de intrusiones de próxima generación, Tipping Point aportaba toda la experiencia sobre amenazas e investigación de DVLabs y la Zero Day Inititive, que además de uno de los programas de recompensa de vulnerabilidades más reconocidos es el principal patrocinador del Pwn2Own.

Hace unos meses, Trend Micro fue reconocido recientemente como referente en cuanto a experiencia y conocimiento sobre amenazas globales por la fortaleza de su programa de investigación de vulnerabilidades. El reconocimiento se produjo coincidiendo con la presentación de un informe de Frost&Sullivan donde se aseguraba que en 2016 Trend Micro Zero Day Initiative (ZDI) dio a conocer el mayor número de vulnerabilidades verificadas, con un 52,2% del total de las 1.262 identificadas a nivel mundial.

En 2007, tres semanas antes de la conferencia de seguridad CanSecWest de Canadá, se anunciaba la creación de una competición, el Pwn2Own, para la caza de fallos en Mac OS X, como una manera de poner de manifiesto las molestias de la industria con la manera que Apple gestionaba la seguridad de sus productos. El premio de la primera edición de un concurso que sigue de plena actualidad fue de un portátil, aunque poco después se equiparó con otros programas como el ZDI. Está previsto que la edición de Pwn2Own de 2018 reparta hasta dos millones de dólares en premios.

En 2010 la llegada de Google a este ecosistema de programas de recompensas supuso un cambio importante. Por un lado, el respaldo de una gran compañía a este tipo de acciones y que se tuvieran en cuenta otro tipo de programas, como las aplicaciones web. A primeros de 2010 Google lanzó un Bug Bounty para su proyecto Chromium que tuvo gran éxito. El programa de recompensas de Google, abierto a investigadores de todo el mundo, fue muy similar al que Mozilla había lanzado en 2004, quien siguiendo el ejemplo de Google expandió su programa de recompensas a las aplicaciones web. El paso de Google animó a otras compañías, como Barracuda Networks y Deutsche Post, a adoptar este tipo de acciones para mejorar la seguridad de sus productos.

Facebook siguió a Google tan sólo un año después. En 2011 la compañía anunció que pagaría un mínimo de 500 dólares por vulnerabilidad detectad, sin límite dependiendo de su gravedad. El programa, conocido como Facebook Whitehat Program, sigue activo y en sus primeros cinco años de vida repartió cinco millones de dólares en recompensas.

A partir de ahí ha habido una explosión de empresas, programas e iniciativas de lo más variado, además de incrementarse los premios. Microsoft y Google, por ejemplo, unieron fuerzas para patrocinar conjuntamente el Internet Bug Bounty, un programa dedicado a encontrar vulnerabilidades en frameworks utilizados por muchas aplicaciones.

Por cierto, que los programas de recompensas de vulnerabilidades abiertas al público en general son solo la punta del iceberg. Alrededor del 88% de los programas de HackerOne y el 77% de los de Bugcrowd son en realidad privados, lo que significa que solo los investigadores que reciben una invitación pueden participar o incluso conocer el programa.

Cuando la Guardia Civil tiene que entrar en acción

José Antonio Calle es el Chief Executive Officer en ZeroLynx. Es experto en seguridad, ha detectado algunas vulnerabilidades de Día Cero y en ocasiones ha optado por informar a la Guardia Civil o al INCIBE. Menos líos.

Hablamos con José Antonio como parte de ecosistema de expertos que venden sus investigaciones sobre una vulnerabilidad a la empresa afectada. Y a veces las cosas no son tan fáciles como se escriben. José Antonio trabaja en ZeroLyx, una empresa dedicada a la consultoría de seguridad y de hacking ético, probando la seguridad de compañías, tanto medianas como grandes (del IBEX 35). “Y en muchas ocasiones, cuando estamos investigando temas de vulnerabilidades en clientes, nos encontramos, casi sin querer, vulnerabilidades que son de Días Cero”, es decir, que no son conocidas, ergo no hay parche que las solucione. Llegados a este punto José Antonio Calle y su equipo se ponen en contacto con el proveedor afectado por la vulnerabilidad “y si tienen bug bounty te pagan una cantidad porque hagas una cesión de la investigación en sí para que ellos puedan resolver el problema de seguridad. No es que nosotros nos dediquemos a detectar fallos, sino que los descubrimos en nuestros procesos de investigación”.

En ocasiones, si un proveedor no tiene un Bug Bounty, “porque es un tema desconocido para ellos, se enfadan cuando se les envía la información”. Tanto es así que cuando esto ocurre terminan “reportando la información a la Guardia Civil o a INCIBE para que ellos, de forma anónima, les indiquen que tienen una vulnerabilidad para que la resuelvan”.

En alguna ocasión han contactado con Beyond Security, una empresa que se dedica a comprar y vender vulnerabilidades, siempre desde la ética. “Hablas con ellos, le reportas una vulnerabilidad, firmas un NDA y si el proveedor les de el OK, ellos hacen de intermediarios anonimizando a la persona que ha reportado la vulnerabilidad”.

¿Está bien visto realizar este tipo de actividades? “El problema está en que muchas empresas no entienden de seguridad, no tienen controles, no tienen procesos y lo ven como si fueras a hacer algo malo, cuando en realidad simplemente les contactas porque es algo habitual. Pero al no estar familiarizado con ello lo ven como algo negativo y hemos visto cómo compañeros de otras empresas se han tenido que ver con este tipo de proveedores en juicios, porque no han sabido entender que le estaban reportando algo positivo para ellos. Y les achacaban que habían estado jugando con la seguridad de su software”.

Y este tipo de situaciones es lo que lleva a José Antonio Calle y su empresa, ZeroLynx, a optar por, cuando el proveedor no tiene bug bounty, a contactar directamente con INCIBE o Guardia civil, “y ya está. Porque al final no sólo no vas a sacar un beneficio económico sino todo lo contrario, te puedes ver con ellos en los tribunales, aunque luego pierdan porque no llevan razón”.

¿Crees que el IoT será la edad de oro de los cazadores de recompensas? “Pues hemos tenido ya algún problema con ello porque al final el ecosistema es de mini empresas que hacen mini productos, que si una webcam, que si un contador electrónico, que si un termostato…  y la mayoría sacan sus productos con muchos problemas de seguridad”

La opinión de los expertos

Aunque actualmente los programas de recompensa de vulnerabilidades son muy populares y atraen a cada vez más investigadores de seguridad, al comienzo no fueron muy bien recibidos. Considerados casi más como una provocación que como una manera de mejorar la seguridad de los productos, han ido evolucionando hasta nuestros días, y lo que les queda, porque estamos sólo al comienzo del camino.

Hemos preguntado a un grupo de expertos qué opinan de estos Bug Bounty Programs y he aquí sus respuestas, por orden alfabético de la compañía a la que pertenecen:

Josep Albors, responsable de concienciación de ESET España: Los programas de recompensas o “bug bounty” son una buena práctica siempre que se realicen de forma correcta. La empresa promotora de un “bug bounty” debe definir muy bien cuáles son las condiciones por las que se rige un programa de estas características y cómo se va a recompensar al investigador. Por su parte, el investigador debería proporcionar toda la información acerca de la vulnerabilidad descubierta con la mayor discreción posible, para que no se filtre información que pueda ser utilizada en ataques que perjudiquen a terceros antes de que los fallos sean solucionados. En estos momentos creemos que este tipo de programas son beneficiosos tanto para las empresas que los desarrollan como para los investigadores que descubren los fallos, ya que permiten descubrir vulnerabilidades y solucionarlas antes de que sean aprovechadas de forma masiva. Hemos de tener en cuenta que, además de los cazadores de bugs, los delincuentes pueden realizar sus propias investigaciones para explotar fallos desconocidos, por lo que siempre es mejor recompensar a los investigadores que hayan avisado de posibles vulnerabilidades y solucionarlas que desconocer su existencia y que estas sean aprovechadas por los cibercriminales.

Manuel Cubero, Director Técnico de Exclusive Networks. Los programas de Bug Bounty se han popularizado entre muchas compañías con el objetivo de contar con refuerzos a la hora de detectar y corregir errores en sus productos que puedan generar un problema mayor de seguridad. Por muchas razones, este tipo de iniciativas son necesarias: Por un lado, inevitablemente, el software es vulnerable y ni siquiera los mejores ingenieros son capaces de crear nuevos programas o versiones de los mismos que no contengan algún fallo o combinación de variables, sin fallo aparente, que puedan ser explotadas en un escenario que no se ha evaluado previamente. Por otro lado, este tipo de iniciativas, donde se recompensa esta investigación hace que sea más rápido y legal obtener un beneficio directo por el trabajo realizado en lugar de intentar buscar métodos alternativos. También se fomentan nuevas vías de trabajo donde poder obtener beneficios y reconocimiento del talento personal de los propios investigadores. Teniendo en cuenta todo esto, y que cada vez sean más populares, este tipo de iniciativas creo que aportan valor y ayudan en la mejora de los productos. Creo que si realmente se hubieran detectado indicios de que estos programas perjudicasen el nivel de seguridad, ninguna compañía estaría fomentándolos e incluso mejorando sus condiciones.

Alfonso Ramírez, director general de Kaspersky Lab Iberia. Por supuesto, los Bug Bounty son útiles y beneficiosos. Desde Kaspersky Lab, en 2017 lanzamos la Iniciativa de Transparencia Global que facilita el código fuente, incluidas actualizaciones, para la revisión de terceros y abrió tres Centros de Transparencia en todo el mundo, además de aumentar las recompensas por el descubrimiento de “vulnerabilidades” (Bug Bounty), otorgando hasta 100.000 dólares por las más graves encontradas, cumpliendo el programa de Divulgación de Vulnerabilidades. Con ello, se persigue incentivar aún más a los investigadores independientes de seguridad y complementar nuestros esfuerzos en la mitigación y detección de vulnerabilidades.

Samuel Najar, Inside Sales para Europa del Sur e Israel de ‎Netskope. Las vulnerabilidades de seguridad evolucionan constantemente. Para luchar adecuadamente contra ellas y siempre estar un paso por delante, es necesario contar con ayuda externa. Los Programas Bug Bounty se crearon con ese fin; permitir que los expertos en seguridad externos o los hackers pudieran resolver 'bugs' (errores) a cambio de una recompensa económica, normalmente en efectivo.  Las empresas ahorran dinero cuando deciden externalizar las tareas de resolución de errores. En este sentido ha quedado demostrado que pedir a especialistas externos que resuelvan bugs es mucho menos oneroso que contratar a un equipo especializado para gestionar ese tema. De este modo, además, los equipos de seguridad interna pueden enfocar su energía en tareas propias como la codificación o el desarrollo. 

Antonio Martínez Algora, Responsable Técnico de Stormshield Iberia. Cualquier esfuerzo en la mejora de la seguridad es positivo. El viejo axioma de Security by Obscurity, tiene cada vez menor cabida en un mundo interconectado y global. Se basa en intentar ocultar información con la esperanza de que el desconocimiento del programa dificulte la identificación de vulnerabilidades. Por contra, como sucede por ejemplo en los algoritmos criptográficos, la publicación del algoritmo garantiza que toda la comunidad pueda participar en testar su fortaleza y notificar sobre cualquier posible vulnerabilidad.

Ramsés Gallego, Strategist & Evangelist en la oficina del CTO en Symantec. Nosotros celebramos la existencia de programas que mejoren la detección de vulnerabilidades y fallos en las infraestructuras o programas. La clave, no obstante, de estos programas es que recompensen de manera satisfactoria el hecho de encontrar los fallos (tanto económicamente como a nivel de visibilidad para quien lo haya descubierto) y evite la tentación de vender la información 'al mejor postor' o incluso utilizar la brecha con fines ilícitos. Por otra parte, lamentamos profundamente que deban existir ya que muestran que la robustez y solidez con la que se deberían crear programas y aplicaciones, la profundidad con la que se realizan las pruebas antes de que salgan a producción son escasas, quizás presionados por el 'time-to-market' y la necesidad de sacar productos al mercado con celeridad. La mera existencia de los mismos muestra la fragilidad en los procesos de desarrollo en lo que a seguridad se refiere y nos debe hacer preguntarnos qué interesa más, si la seguridad o la conveniencia.

David Sancho, investigador de amenazas de Trend Micro. Los programas de bug bounty son beneficiosos para mejorar la seguridad del software. Lo que hacen es incentivar la información responsable de los fallos de seguridad encontrados. Si en lugar de vender esas vulnerabilidades encontradas a atacantes, los descubridores se los venden a las empresas de software, los fallos se ven parcheados con más rapidez y así los usuarios se ven protegidos. Los equipos de seguridad están cargados con una avalancha diaria de eventos de seguridad e información de amenazas proveniente de múltiples soluciones. La capacidad de cerrar el ciclo desde la detección inicial hasta la aplicación puede ser difícil si no se tiene visibilidad de la información de las amenazas principales y soluciones que puedan automatizar la respuesta al incidente. En Trend Micro contamos con Zero-Day Initiative, que es nuestro programa de bud bounty.

Guillermo Fernández, sales engineer Southern Europe, WatchGuard. Es importante que los proveedores tengan mecanismos establecidos para recibir detalles sobre vulnerabilidades en productos de investigadores de seguridad independientes. Cuando se implementan correctamente, los programas de recompensas como los bug bounties ofrecen a los proveedores un período de tiempo suficiente para parchear las vulnerabilidades antes de que se expongan públicamente, y también proporcionan a los investigadores una recompensa por sus esfuerzos. En última instancia, los productos se vuelven más seguros, lo que es una ganancia para los proveedores, para las empresas y las personas que usan los productos.