Que Es El Bug Bounty y Porque Ah Tenido Tanta Relevancia Entre los Hackers Hoy En Dia

Descripción del programa Bug Bounty

El programa Bug Bounty ofrece recompensas por las vulnerabilidades y las vulnerabilidades descubiertas en el protocolo de cada empresa o en cualquiera de los códigos de sus repositorios. Estas empresas reconocemos la importancia de los investigadores de seguridad y comunidad para ayudar a identificar errores y problemas. Alentando la divulgación responsable de las vulnerabilidades de seguridad a través de este programa de recompensas de errores descrito

Los equipos de desarrollo de cada empresa tienen hasta 90 días para implementar una solución según la gravedad del informe. Permitiendo que este proceso se complete por completo antes de divulgar públicamente la vulnerabilidad.

La idea de la ayuda de los hackers a la seguridad de la información mediante crowdsourcing puede parecer una práctica poco habitual, pero está claro que los programas de recompensas de errores están aquí para quedarse. Las fuentes de errores se han convertido en una parte importante de muchos programas de seguridad. Las empresas que se dedican a proteger los secretos comerciales y la información personal recopilada de los clientes y empleados han utilizado con éxito los programas de recompensas de errores para mejorar sus esfuerzos de seguridad.

Un bróker (del inglés broker) es un individuo o institución (agente de bolsa) que organiza las transacciones entre un comprador y un vendedor para ganar una comisión cuando se ejecute la operación. Hay muchos tipos de brokers: de seguros, tecnología, etc. y en el caso de bug bounty, podemos decir que utilizamos el mismo concepto, es un intermediador entre proveedores (en este caso Hackers) y clientes (las empresas).

El crowdsourcing (del inglés crowd – multitud – y outsourcing – recursos externos) se podría traducir al español como colaboración abierta de tareas, es decir, que las tareas se realicen mediante comentarios de un grupo de personas o comunidad, a través de una convocatoria abierta. Ejemplos de este concepto, son Facebook, empresa que genera mas contenido sin tener escritores, UBER, empresa de viajes que ningún auto es propiedad de ellos, AirBNB, etc.

El 10 de octubre de 1995, Netscape lanzó el primer programa de bug bounty que ofrecía recompensas en efectivo a aquellos que encontraban errores de seguridad en su navegador Netscape Navigator 2.0 Beta. 
 

Recompensas

las recompensas a los investigadores que encuentran errores se pueden pagar con moneda digital, lumens (XLM),  o con Dólares $. El monto del premio depende del grado de severidad de la vulnerabilidad informada.
El panel de recompensas se evalúan de acuerdo a los tamaños de los premios según la gravedad calculada de acuerdo con el modelo de calificación de riesgo de OWASP basado en el impacto y la probabilidad. Sin embargo, los premios finales se determinan a discreción exclusiva del panel:

• Crítico: hasta 25 000 puntos
• Alto: hasta 15 000 puntos.
• Medio: hasta 10 000 puntos
• Bajo: hasta 2 000 puntos.
• Nota: hasta 500 puntos.

1 punto actualmente corresponde a 1 USD (pagadero en lúmenes (XLM), algo que puede cambiar sin previo aviso.
Es más probable que los investigadores obtengan una recompensa mayor al demostrar cómo se puede aprovechar al máximo la vulnerabilidad.

Elegibilidad

En términos generales, cualquier error que presente una vulnerabilidad significativa a la seguridad o integridad de las Empresas podría ser elegible para una recompensa. Sin embargo, es totalmente a su discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.
En general, cualquier cosa que tenga el potencial de pérdida financiera o violación de datos es de suficiente gravedad, incluyendo:

• Errores de implementación que pueden llevar a pérdidas financieras.
• Acceso a nuestros servidores de producción.
• Ejecución remota de código
• Errores de protocolo
• Error de bloqueo (por ejemplo, un error que puede bloquear la aplicación mediante el envío de una solicitud especial, no mediante el envío de miles de solicitudes).

En general, lo siguiente no cumpliría con el umbral de gravedad:

• Vulnerabilidades de 0 días recientemente divulgadas
• Vulnerabilidades en los sitios alojados por terceros a menos que conduzcan a una vulnerabilidad en el sitio web principal.
• Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spamming, ataques DDOS, etc.
• Vulnerabilidades que afectan a los navegadores desactualizados o no parcheados.
• Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de las empresas.
• Errores que no han sido investigados y reportados responsablemente.
• Errores ya conocidos por nosotros, o ya informados por otra persona (la recompensa va al primer reportero).
• Problemas que no son reproducibles.
• Problemas de los que no podemos razonablemente hacer nada.

Gravedad

La gravedad de un error, es decir, la cantidad de participantes en las empresas que se ven afectados, se tiene en cuenta al decidir el monto del pago de la recompensa. Por ejemplo, un exploit que se basa en un error de implementación en el núcleo de cada empresa que afecte a la red como un todo y muy profundamente. No hay implementaciones alternativas  y por lo tanto un pago que afecta a ellas se pagaría más alto que, por ejemplo, un error XSS.

Legalidad

 
No puede participar en este programa si es residente o individuo ubicado en un país que aparezca en las listas de sanciones de los EE. UU.

Top 30 programas de recompensas de errores en el 2018

A continuación se encuentra una lista curada de Programas de Recompensas por empresas de renombre

1) Intel

El programa de recompensas de Intel se dirige principalmente al hardware, firmware y software de la compañía.
Limitaciones: No incluye las adquisiciones recientes, la infraestructura web de la empresa, los productos de terceros ni nada relacionado con McAfee.
Pago mínimo: Intel ofrece una cantidad mínima de $ 500 para encontrar errores en su sistema.
Pago máximo: la compañía paga un máximo de $ 30,000 para detectar errores críticos.
Bounty Link: https://security-center.intel.com/BugBountyProgram.aspx

2) Yahoo

Yahoo tiene su equipo dedicado que acepta informes de vulnerabilidad de investigadores de seguridad y hackers éticos.
Limitaciones: La compañía no ofrece ninguna recompensa por encontrar errores en los blogs de prensa de Word operados por Yahoo, Yahoo 7 Yahoo, Onwander y Yahoo.
Pago mínimo: No hay un límite establecido en Yahoo para el pago mínimo.
Pago máximo: Yahoo puede pagar $ 15000 por detectar errores importantes en su sistema.
Enlace de beneficios:https://safety.yahoo.com/Security/REPORTING-ISSUES.html

3) Snapchat

El equipo de seguridad de Snapchat revisa todos los informes de vulnerabilidad y actúa sobre ellos mediante la divulgación responsable. La empresa, le agradeceremos su envío dentro de los 30 días.
Pago mínimo: Snapchat pagará un mínimo de $ 2000.
Pago máximo: el máximo que pagarán es de $ 15,000.
Bounty Link: https://support.snapchat.com/en-US/i-need-help

4) Cisco

Cisco recomienda a las personas u organizaciones que están experimentando un problema de seguridad del producto que informen a la empresa.
Pago mínimo: el monto de pago mínimo de Cisco es de $ 100.
Pago máximo: la compañía otorgará un máximo de $ 2,500 para encontrar vulnerabilidades graves.
Bounty Link: https://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html

5) Dropbox

El programa de recompensas de Dropbox permite a los investigadores de seguridad reportar errores y vulnerabilidades en el servicio de terceros HackerOne.
Pago mínimo: el monto mínimo pagado es de $ 12,167.
Pago máximo: El monto máximo ofrecido es de $ 32,768.
Bounty Link: https://www.dropbox.com/help/security/report-vulnerability

6) Apple

Cuando Apple lanzó por primera vez su programa de recompensas de errores, solo permitió 24 investigadores de seguridad. El marco luego se expandió para incluir más cazadores de recompensas de errores.
La compañía pagará $ 100,000 a quienes puedan extraer datos protegidos por la tecnología Secure Enclave de Apple.
Pago mínimo: No hay una cantidad limitada fijada por Apple Inc.
Pago máximo: la recompensa más alta otorgada por Apple es de $ 200,000 por problemas de seguridad que afectan su firmware.
Enlace de recompensa: https://support.apple.com/en-au/HT201220

7) Facebook

Bajo el programa de recompensas de errores de Facebook, los usuarios pueden reportar un problema de seguridad en Facebook, Instagram, Atlas, WhatsApp, etc.
Limitaciones: hay algunos problemas de seguridad que la plataforma de redes sociales considera fuera de los límites.
Pago mínimo: Facebook pagará un mínimo de $ 500 por una vulnerabilidad divulgada.
Pago máximo: No hay un límite superior fijado por Facebook para el pago.
Bounty Link: https://www.facebook.com/whitehat/

8) Google

Todos los contenidos de .google.com, .blogger, youtube.com están abiertos para el programa de recompensas por vulnerabilidad de Google.
Limitaciones: Este programa de recompensas solo cubre problemas de diseño e implementación.
Pago mínimo: Google pagará un mínimo de $ 300 para encontrar hilos de seguridad.
Pago máximo: Google pagará la recompensa más alta de $ 31.337 por las aplicaciones normales de Google.
Bounty Link: https://www.google.com/about/appsecurity/reward-program/

9) Quora

Quora ofrece el programa Bug Bounty a todos los usuarios e investigadores para encontrar y reportar vulnerabilidades de seguridad.
Pago mínimo: Quora pagará un mínimo de $ 100 por encontrar vulnerabilidades en su sitio.
Pago máximo: El pago máximo ofrecido por este sitio es de $ 7000.
Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program

10) Mozilla

Mozilla recompensa los descubrimientos de vulnerabilidad por parte de hackers éticos e investigadores de seguridad.
Limitaciones: la recompensa se ofrece solo para errores en los servicios de Mozilla, como Firefox, Thunderbird y otras aplicaciones y servicios relacionados.
Pago mínimo: la cantidad mínima otorgada por Firefox es de $ 500.
Pago máximo: La compañía está pagando un máximo de $ 5000.
Enlace de recompensa: https://www.mozilla.org/en-US/security/bug-bounty/

11) Microsoft

El programa actual de recompensas de errores de Microsoft se lanzó oficialmente el 23 de septiembre de 2014 y se ocupa únicamente de los Servicios en línea.
Limitaciones: la recompensa de recompensa solo se otorga por las vulnerabilidades críticas e importantes.
Pago mínimo: Microsoft está listo para pagar $ 15,000 por encontrar errores críticos.
Pago máximo: la cantidad máxima puede ser de $ 250,000.
Bounty Link: https://technet.microsoft.com/en-us/library/dn425036.aspx

12) OpenSSL

OpenSSL bounty le permite reportar vulnerabilidades usando un correo electrónico seguro (Clave PGP). También puede reportar vulnerabilidades al Comité de Administración de OpenSSL.
Pago mínimo: La Compañía paga recompensas de recompensas mínimas de $ 500.
Pago máximo: el monto más alto otorgado por la compañía es de $ 5000.
Bounty Link: https://www.openssl.org/news/vulnerabilities.html

13) Vimeo

Vimeo agradece cualquier informe de vulnerabilidad de seguridad en sus productos, ya que la compañía paga buenas recompensas a esa persona.
Pago mínimo : La Compañía pagará un mínimo de $ 500.
Pago máximo: El monto máximo pagado por esta compañía es de $ 5000.
Bounty Link: https://vimeo.com/about/security

14) Apache

Apache alienta a los piratas informáticos éticos a informar las vulnerabilidades de seguridad a una de sus listas de correo de seguridad privadas.
Pago mínimo: el monto de pago mínimo dado por Apache es de $ 500.
Pago máximo: Esta compañía puede dar una recompensa máxima de $ 3000.
Bounty Link: https://www.apache.org/security/

15) Twitter

Twitter permite a los investigadores y expertos en seguridad sobre posibles vulnerabilidades de seguridad en sus servicios. La empresa anima a la gente a encontrar errores.
Pago mínimo: Twitter paga una cantidad mínima de $ 140.
Pago máximo: El monto máximo que paga la compañía es de $ 15000.
Bounty Link: https://support.twitter.com/articles/477159

16) Avast

El programa de recompensas de Avast recompensa a los piratas informáticos éticos y a los investigadores de seguridad por informar sobre la ejecución remota de código, la escalada de privilegios locales, DOS, la omisión del escáner, entre otras cuestiones.
Pago mínimo: Avast puede pagarle la cantidad mínima de $ 400.
Pago máximo: El monto máximo ofrecido por la compañía es de $ 10,000.
Bounty Link: https://www.avast.com/bug-bounty

17) Paypal

El servicio de pasarela de pago Paypal también ofrece programas de recompensas de errores para los investigadores de seguridad.
Limitaciones:
Vulnerabilidades que dependen de las técnicas de ingeniería social, encabezado de host
Denegación de servicio (DOS), carga útil definida por el usuario, suplantación de contenido sin enlaces / HTM incrustados y vulnerabilidades que requieren un dispositivo móvil con jailbreak, etc.
Pago mínimo: Paypal puede pagar un mínimo de $ 50 por encontrar vulnerabilidades de seguridad en su sistema.
Pago máximo: El monto máximo de pago dado por Paypal es de $ 10000.
Bounty Link: https://www.paypal.com/us/webapps/mpp/security-tools/reporting-security-issues

18) GitHub

GitHub ejecuta el programa de recompensas de errores desde 2013. Cada participante exitoso ganó puntos por sus envíos de vulnerabilidad según la gravedad.
Limitación: el investigador de seguridad recibirá esa recompensa solo si respeta los datos de los usuarios y no explota ningún problema para producir un ataque que pueda dañar la integridad de los servicios o la información de GitHub.
Pago mínimo: Github paga una cantidad mínima de $ 200 por encontrar errores.
Pago máximo: Github puede pagar $ 10000 por encontrar errores críticos.
Bounty Link: https://bounty.github.com/

19) Uber

El programa de recompensas a la vulnerabilidad de Uber se centró principalmente en proteger los datos de los usuarios y sus empleados.
Pago mínimo: No hay una cantidad mínima predeterminada.
Pago máximo: Uber le pagará $ 10,000 por encontrar problemas de errores críticos.
Bounty Link: https://eng.uber.com/bug-bounty/

20) Magento

El programa Magneto bounty le permite reportar vulnerabilidades de seguridad en el software o sitios web de Magneto.
Limitaciones:
Seguir la investigación de seguridad no es elegible para la recompensa

• Denegación de servicio potencial o real de las aplicaciones y sistemas de Magento.
• Uso de un exploit para ver datos sin autorización.
• Pruebas automatizadas / guiadas de formularios web

Pago mínimo: El monto de pago mínimo para este programa de recompensas es de $ 100.
Pago máximo: Magento paga un máximo de $ 10,000 por encontrar errores críticos.
Bounty Link: https://magento.com/security

21) Perl

Perl también está ejecutando programas de recompensas de errores. Si alguien encontró una vulnerabilidad de seguridad en Perl, puede ponerse en contacto con la empresa.
Pago mínimo: la compañía paga una cantidad mínima de $ 500.
Pago máximo: la cantidad máxima otorgada por Perl es de $ 1500.
Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION

22) PHP

PHP permite a los hackers éticos encontrar un error en su sitio.
Limitaciones: debe verificar la lista de errores que ya están encontrando. Si no sigues esta instrucción tu error no será considerado.
Pago máximo: el monto mínimo de pago es de $ 500.
Pago mínimo: PHP otorga un máximo de $ 1500 para buscar errores importantes.
Bounty Link: https://bugs.php.net/report.php?bug_type=Security

23) Starbucks

Starbucks ejecuta el programa Bug Bounty para proteger a sus clientes. Alientan a encontrar actividad maliciosa en sus políticas de redes, web y aplicaciones móviles.
Pago mínimo: El monto mínimo pagado por Starbucks $ 100.
Pago máximo: el monto máximo sube a $ 4000.
Bounty Link: https://www.starbucks.com/whitehat

24) AT&T

AT&T también tiene su canal de búsqueda de errores. Los desarrolladores y expertos en seguridad pueden investigar las distintas plataformas, como sitios web, API y aplicaciones móviles.
Pago mínimo: la cantidad mínima pagada por ellos es de $ 500.
Pago máximo: no existe tal límite superior para el pago.
Bounty Link: https://bugbounty.att.com/home.php

25) LinkedIn

LinkedIn da la bienvenida a los investigadores individuales que contribuyen con su experiencia y tiempo para encontrar errores.
La compañía lo recompensará, pero ni una cantidad mínima ni máxima es una solución para este propósito.
Bounty Link: https://security.linkedin.com/posts/2015/private-bug-bounty-program

26) Paytm

Paytm invita a grupos de seguridad independientes o investigadores individuales a estudiarlo en todas las plataformas.
Limitaciones:

• Informes que indican que el software está desactualizado / vulnerable sin una 'Prueba de concepto'.
• Problemas de XSS que afectan solo a los navegadores desactualizados.
• Apila las trazas que revelan información.
• Cualquier problema de fraude

Pago mínimo: la compañía pagará un mínimo de $ 15 por encontrar errores.
Pago máximo: esta empresa no fija el límite superior.
Enlace de recompensas: https://paytm.com/offer/bug-bounty/

27) Shopify

El programa Whitehat de Shopify recompensa a los investigadores de seguridad por encontrar vulnerabilidades de seguridad graves
Pago mínimo: el monto mínimo pagado por Shopify es de $ 500.
Pago máximo: no hay un límite superior fijo para pagar la recompensa.
Enlace de recompensa:  https://www.shopify.in/whitehat

28) Word Press

WordPress también da la bienvenida a los investigadores de seguridad para informar sobre los errores que han encontrado.
Pago mínimo: WordPress paga un mínimo de $ 150 para informar errores en su sitio.
Pago máximo: La Compañía no fija un límite máximo para pagar como recompensa.
Bounty Link: https://make.wordpress.org/core/handbook/testing/reporting-bugs/

29) Zomato

Zomato ayuda al investigador de seguridad a identificar problemas relacionados con la seguridad con el sitio web o las aplicaciones de la empresa.
Pago mínimo: Zomato pagará un mínimo de $ 1000 por encontrar errores importantes.
Pago máximo: No hay una cantidad máxima de arreglos.
Bounty Link: https://www.zomato.com/security

30) Tor Proyect

El programa de recompensas de errores de Tor Project cubre dos de sus servicios principales: su demonio de red y su navegador.
Limitación: las aplicaciones OpenSSL están excluidas de este alcance.
Pago mínimo: el monto mínimo pagado por ellos es de $ 100.
Pago máximo: La Compañía le pagará un máximo de $ 4000.
(No hay enlace disponible) Enlace de recompensa: security@lists.torproject.org.

31) Hackerone

HackerOne es una de las plataformas de mayor vulnerabilidad y coordinación de errores. Ayuda a las empresas a proteger sus datos de consumo trabajando con la comunidad de investigación global para encontrar los problemas de seguridad más relevantes. Muchas compañías conocidas como Yahoo, Shopify, PHP, Google, Snapchat y Wink están tomando el servicio de este sitio web para recompensar a los investigadores de seguridad y hackers éticos.
Bounty Link: https://hackerone.com/bug-bounty-programs

32) Bugcrowd

Una poderosa plataforma que conecta a la comunidad de investigadores de seguridad global con el mercado de seguridad. Este sitio tiene como objetivo proporcionar la combinación adecuada y el tipo de investigador adecuado según el sitio web específico para sus clientes en todo el mundo. Los hackers solo necesitan seleccionar sus informes en este sitio, y si pueden detectar errores correctos, la compañía específica pagará la cantidad a esa persona.
Bounty Link: https://www.bugcrowd.com/bug-bounty-list/