menu close NoticiasContáctenos search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUnited Arab EmiratesYemenZimbabwe
Spanish
Spanish
Servicios
close Servicios
RPA
Servicios
Conózcanos
close Conózcanos
Conózcanos
Carrera
NoticiasContáctenos
search close
Manos 3

Bug Bounty 

Se basa principalmente en premiar a investigadores capaces de identificar vulnerabilidades en las organizaciones para evitar que sean publicadas. 

Desde hace ya algunos años venimos experimentando un notable crecimiento de los llamados Bug Bounty también conocidos como VRP (programa de recompensa de vulnerabilidades), que se basan principalmente en premiar a investigadores capaces de identificar vulnerabilidades en las organizaciones, y notificarlas siguiendo un código de buenas prácticas denominado Responsible Disclosure, para evitar que las vulnerabilidades sean publicadas antes de haber sido solucionadas.

Es habitual encontrarse con casos donde hackers o investigadores reportan vulnerabilidades a las organizaciones de forma altruista, algunos por el simple hecho de hacer un Internet más seguro y otros con el objetivo de ganar fama y reconocimiento, a la vez que desarrollan sus habilidades.

Es cada vez más frecuente ver cómo las organizaciones con mayor madurez en su modelo de seguridad, adoptan como parte de sus procesos de gestión de vulnerabilidades, ejercicios de red teaming o programas de recompensas. El beneficio inmediato de disponer de cientos de investigadores buscando vulnerabilidades, es la posibilidad de detectar y corregir un gran número de ellas, a la par que pone de manifiesto la concienciación e importancia que la organización otorga a la seguridad.

¿Cómo organizar un Bug Bounty?

Hasta hace no mucho lanzar un bounty estaba al alcance de muy pocos, ya que para poder llevarlo a cabo de forma eficiente, es necesario disponer de un equipo multidisciplinar especializado y 100% dedicado. Hoy día encontramos diversas alternativas online que ponen a disposición de sus clientes determinada infraestructura y su capacidad de poner a las empresas en contacto con los caza recompensas éticos, sin embargo solo hacen de intermediarios entre estos sin ofrecer ningún otro servicio de valor.

La propuesta para acometer este tipo de servicios va hacia la gestión integral del programa en todas sus fases de tal forma que este sea integrado de forma transparente como un origen de datos adicional en los procesos de gestión de vulnerabilidades ya establecidos en el cliente y utilizando sus mismos interfaces (herramientas de ticketing, sistema de reporting, etc).

Se pondrá a tu disposición un equipo con distintos perfiles de especialización que se encargará de todas las labores técnicas y de coordinación del programa. El equipo será “elástico”, de tal forma que el número de analistas dedicados variará dependiendo del volumen de reportes recibidos, así como la complejidad técnica de los mismos.

Un interlocutor asignado a tiempo completo, estará al frente del equipo de analistas ejerciendo como punto único de contacto. Este tendrá conocimiento del personal de la organización, así como de los distintos departamentos involucrados en la resolución, ya que él se encargará de coordinar y realizar las labores de seguimiento. En cualquier caso, el CISO determinará el nivel de integración con sus procesos y herramientas de gestión existentes o si prefiere que se trate de un servicio ad-hoc.

Consideraciones del Bug Bounty

Se deben recoger el conjunto de reglas que deberán ser aceptadas por los investigadores que quieran adherirse al programa de Bug Bounty. Aunque existen algunas diferencias cuando el programa está enfocado a un producto, o cuando se trata de servicios online, en este ejemplo describiremos los segundos por ser los más habituales.

  • Alcance y período de vigencia. Restricciones de alcance y establecer un programa permanente o a largo plazo.
  • Tipología de las pruebas permitidas. Donde generalmente se descartan denegaciones de servicio, ingeniería social y el uso de herramientas automáticas que generen excesivo tráfico de red o carga en los servidores..
  • Umbral y criterio mínimo de aceptación. Tipología de vulnerabilidades son aceptadas, especificando además si se compensarán únicamente por vulnerabilidades con impacto inmediato o también recomendaciones de “hardening”.
  • Formato de la recompensa. Límites económicos mínimos y máximos del premio, en su defecto especificar el tipo de retribuciones en especies y algún otro método de reconocimiento y agradecimiento como pudiera ser la inclusión en el “hall of fame”. Instrucciones de contacto.Especificando el medio, formato requerido, así como las notificaciones de respuesta que se deben esperar en cada fase.
  • Confidencialidad y privacidad. Los investigadores no podrán revelar ninguna información relevante a la vulnerabilidad hasta que esta haya sido solucionada..
  • Participantes. Descartando empleados y familiares de empleados, estableciendo límites mínimos de edad o requiriendo el consentimiento de padres/tutores legales.
  • Propiedad intelectual. El investigador seguirá siendo el propietario intelectual de la información enviada sin embargo otorgará a la organización de forma irrevocable y perpetua derechos ilimitados para utilizar la información recibida.

Al comienzo del programa se definirán, junto al responsable de seguridad de la organización, aquellos indicadores necesarios para un correcto seguimiento del programa, en los que se incluyen el reparto y criticidad de las vulnerabilidades sobre los distintos activos, tecnologías y áreas de la organización.

Nuestro servicio de gestión de Bug Bounty, está dirigido tanto a fabricantes de software que quieran poner su producto al límite y proteger a sus clientes, como a todas aquellas organizaciones ya sean públicas o privadas que quieran asegurarse que su infraestructura accesible desde internet es analizada exhaustivamente en busca de vulnerabilidades.