Los programas de bug bounty: ventajas y retos

  • Actualidad

Son ya un buen número de empresas las que disponen de programas que recompensan por reportar vulnerabilidades, conocidas como bug bounty. Facebook, Google y Yahoo ya los tienen hace tiempo, y la Unión Europea acaba de estrenar el suyo. Por supuesto, es algo positivo pero estas iniciativas deben ir acompañadas para abordar la seguridad del software.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

La Unión Europea ha puesto en marcha para 2019 una campaña de “Bug Bounty” que comenzó en el mes de enero y que se prolongará hasta finales de año.

En su primer proyecto de estas características, la UE no ha elegido ninguno de sus software, sino que se ha decantado por 15 proyectos de código abierto. El objetivo de esta operación busca alentar a los entusiastas de la ciberseguridad a reportar y corregir las vulnerabilidades que encuentren en los diferentes programas, algunos de ellos de sobra conocidos. En total, las recompensas oscilan entre 25.000 y 90.000 euros.

El hecho de que la UE quiera abordar el estado de la seguridad del software de código abierto es positivo,  pero el especialista en ciberseguridad Veracode advierte que estas iniciativas son solo parte de las medidas que una empresa debe tomar.

Según explica, sus expertos han seguido desde 1995 con interés el crecimiento de la popularidad de estos programas de recompensas, y que la UE aborde el estado de la seguridad software del código abierto es un signo de progreso. Sin embargo, estos programas son solo un eslabón más en una larga cadena para garantizar la seguridad de las aplicaciones. “Se debe crear un entorno favorable para que hackers de buenas intenciones puedan actuar sin el riesgo de sanciones, también en proyectos de código abierto. Sin embargo, no hay que olvidar que estos programas de ‘recompensas’ deben ser solo una estrategia más dentro de una empresa para garantizar su seguridad”, asegura Paul Farrington, director de las regiones de EMEA y Asia-Pacífico de la compañía.

Para Farrington, “es un error muy extendido confiar en que alguien más en la comunidad está buscando brechas de seguridad”, por lo que recomienda emplear servicios DevSecOps durante el diseño del software para garantizar una mayor seguridad.

Además, algunos de los proyectos en el ámbito de las pruebas de la UE se basan en otros proyectos de código abierto que ya se sabe que tienen vulnerabilidades asociadas a ellos. Por tanto, habría que emplear una combinación estructurada entre monitorización automática e investigadores de ciberseguridad.