Tres platafomas para Bug Bounty Programs

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Aunque actualmente los programas de recompensa de vulnerabilidades son muy populares y atraen a cada vez más investigadores de seguridad, al comienzo no fueron muy bien recibidos. Considerados casi más como una provocación que como una manera de mejorar la seguridad de los productos, han ido evolucionando hasta nuestros días.

El mercado de los Bug Bounty Programs está explosionando rápidamente. La mayor cantidad de programas y aplicaciones, de herramientas de pentesting, capacidad de los ordenadores… y recompensas cada vez más altas, están generando una industria millonaria en la que actualmente se reconoce la labor de Bugcrowd, HackerOne y Synack, dedicadas a la contratación y venta de servicios de expertos de seguridad independientes a los que se paga por detectar fallos en los productos y sistemas de sus clientes.

Este contenido forma parte del reportaja de portada de marzo de IT Digital Security dedicado a los Programas de Recompensas. Puedes descargarte la revista desde este enlace.

Durante el último año las tres compañías han aumentado su tamaño e influencia. HackerOne ya ha pagado a más de 5.500 investigadores por su trabajo en la detección de fallos de seguridad. La plataforma abierta de esta compañía permite a los investigadores acceder fácilmente a los Bug Bounty Programas, pagados por los clientes de HackerOne.

Marten Mickos, CEO de HackerOne, calcula que para 2020 la plataforma será utilizada por un millón de hackers éticos que ayudarán a detectar unas 200.000 vulnerabilidades, 16.000 de las cuales se considerarán críticas.

La recompensa promedio pagada por una vulnerabilidad crítica en 2017 fue de 1.923 dólares, frente a los 1.624 dólares de 2015, un aumento del 16%.

Synack fue creado por dos analistas de la NSA, Jay Kaplan and Mark Kuhr, y cuenta con una red de expertos de seguridad en más de 50 países para la detección de vulnerabilidades y problemas de seguridad.

El abril del año pasado se comunicó que Synack había recaudado 21 millones de dólares de Microsoft Ventures, Hewlett Packard Enterprise y Singtel. Inversores anteriores, entre los que se encuentran GV Capital, GV, and Kleiner Perkins Caufield Byers también participaron en la ronda de financiación, lo que eleva el total de dinero recaudado por la empresa a 55 millones de dólares desde su fundación.

De media, los investigadores conectados a la plataforma de Synack reciben un pago de 650 dólares por cada vulnerabilidad detectada. A algunos se les ha pagado más de 30.000 por descubrir errores críticos.

También Bugcrowd recaudó fondos de capital recientemente. La compañía consiguió 15 millones de dólares en abril de 2017 para acelerar su crecimiento. Y es lo que ha hecho: el número de empleados ha pasado de 50 a cien, y la comunidad de investigadores ha crecido sustancialmente.

Bugcrowd cuenta con un base de 60.000 expertos de los que unos 20.000 están activos. Unos 3.000 investigadores trabajan a tiempo completo para la compañía, y el pago medio por vulnerabilidad crítica descubierta es de 1.796 dólares. Entre sus clientes `pueden mencionarse a Motorola, Fitbit o Tesla.