Un ‘bug bounty program‘ o programa de recompensas de errores se trata de un acuerdo que ofrecen numerosas organizaciones, compañías, sitios web y desarrolladores de software ofrecen recompensas (tanto monetarias como no) a los individuos que reporten errores, vulnerabilidades y fallos de seguridad.

Historia de los bug bounty programs.

Todo comenzó en 1983 cuando la compañía ‘Hunter & Ready‘ creó el primer programa de ‘bug bounty’ enfocado en su sistema operativo ‘Versatile Real-Time Executive’. La recompensa para quien encontrase y reportase un ‘bug’ se trataba de un Volkswagen Beetle.

Más de una década después, en 1995, Jarrett Ridlinghafer, ingeniero de Netscape acuñó el término ‘Bugs Bounty‘.

Ridlinghafer reconoció que Netscape tenía muchos entusiastas de sus productos, algunos de los cuales le parecían incluso fanáticos, particularmente para el navegador Mosaic/Netscape/Mozilla.

Comenzó a investigar el fenómeno con más detalle y descubrió que muchos de los entusiastas de Netscape eran en realidad ingenieros de software que estaban arreglando los errores del producto por su cuenta y publicando las correcciones o soluciones; llegando a crear ‘Netscape U-FAQ’ donde se listaron todos los errores y características conocidos del navegador, así como instrucciones sobre soluciones y correcciones.

Tales recursos debían ser aprovechados y Ridlinghafer escribió una propuesta para el «Programa Netscape Bugs Bounty«.

El programa fue apoyado por la directiva de la compañia y recibió un presupuesto inicial de 50.000 dólares para llevar a cabo la propuesta y el primer programa oficial ‘Bugs Bounty’ se lanzó en 1995.

A partir de ese momento, los ‘bug bounty programs’ se empezaron a popularizar entre las empresas y es en 2012 cuando surge la plataforma de bugs bounty más conocida de todas, HackerOne.

HackerOne nace en 2012 de la mano de Michael Prins, Jobert Abma y Merijn Terheggen después de llevar años reportando vulnerabilidades de seguridad a grandes compañías tecnológicas como Apple, Microsoft o Google, sin que ninguna de ellas les recompensase por ello. La mayoría de las veces era completamente ignorados.

Desde entonces la compañía no ha parado de crecer.

En el reporte de 2018, la compañía admite haber concedido más de 31 millones de dólares a los hackers. Un total de 116 informes de errores únicos ganaron recompensas de más de 10.000 dólares el año pasado, y la cantidad media pagada por problemas críticos se elevó a más de 2.000 dólares.

La importancia de los ‘bug bounty programs‘ quedó patente cuando en marzo de 2016, Peter Cook anunció el primer programa de recompensas del gobierno de EE.UU., «Hack the Pentagon».

Se llevó a cabo del 18 de abril al 12 de mayo y en el que más de 1.400 personas presentaron 138 reportes a través de HackerOne. En total, el Departamento de Defensa de los Estados Unidos pagó 71.200 dólares y el Secretario de Defensa, Ash Carter, se reunió con dos participantes, David Dworken y Craig Arendt.

Aún habiendo quedado clara la importancia y el crecimiento de este tipo de programas, hay investigadores de seguridad (a.k.a hackers) que reportan vulnerabilidades directamente a la fuente, sin esperar, en muchos casos recompensa monetaria alguna.

¿Sabéis que sucede con ellos? Son ignorados y cuando la vulnerabilidad es explotada, son los primeros acusados por ello.

Una pena.

Top 15 Bug Bounty Programs in 2019

Las recompensas de estos programas de recompensas van desde unos pocos cientos de dólares a los más de 200.000 dólares que ofrecen compañías como Apple o Microsoft.

Inclusive, hay algunas como Facebook que no tienen estipulado un límite máximo a la hora de pagar en caso de que descubras algún fallo.