¿Sabías qué la multimillonaria empresa de streaming Netflix, en el año 2018 anunció un lanzamiento de recompensas para hackers éticos (Bug Bounty) de forma pública, con el fin de detectar posibles irregularidades en los productos de la marca?
Es una realidad y como si no fuera suficiente, para el año siguiente, la empresa aseguró haber pagado USD 100.000$ a un total de 657 hackers o investigadores que reportaron sus investigaciones detectando las fallas y vulnerabilidades en los programas. Gracias a tal acto, se logró prevenir el inminente daño de muchas de las infraestructuras tecnológicas que permiten su funcionamiento.
Ahora bien, aunque el Bug Bounty ha sido una modalidad aplicada en empresas como Facebook, Google, Reddit, Microsoft y Netflix, se refiere a un programa o en términos sencillos, un contrato que acuerda una organización con una comunidad de hackers éticos, con el fin de que estos de forma honesta detecten en las redes de la empresa y sus productos, cualquier tipo de irregularidad que los muestre vulnerables.
Aunque suene alejado de la realidad jurídica o dentro de los parámetros de las buenas costumbres el incluir a hackers, en importantes pruebas de empresas, lo que ha ocurrido en los últimos 5 años es que diversas organizaciones prueban de forma regular sus sistemas para detectar fallas y anomalías.
Así, un hacker ético utiliza sus conocimientos especializados en informática para detectar, prevenir y reportar vulnerabilidades y fallas, que la empresa contratante debe considerar para resguardar futuros ataques.
Y aunque parezca un simple trabajo pago, en los últimos 5 años se ha convertido en los empleos con mayor remuneración a nivel mundial. Tan solo para el año 2018 la plataforma de Bug Bounty HackerONE develó información que asegura que un hacker ético que se dedique a este tipo de contrataciones, percibe hasta 2.7 veces más de remuneración, que un convencional ingeniero de software con jornada de 12 horas al día.
Lo usual, es que los hackers de Bug Bounty realicen una penetración en los sistemas de la organización, para probar la vulnerabilidad a la cual se enfrentan. Los hackers, por poseer un amplio conocimiento en TI utilizan diversas metodologías como el Pentesting.
El Pentesting, permite simular ciberataques simulados para poner a prueba los sistemas de seguridad y las fortalezas tecnológicas que posea el portal web o el sistema.
¿Son iguales o se diferencian en algo el Pentesting y el Bug Bounty?
En los contratos de Bug Bounty, la remuneración se obtiene si y solo si, el hacker ético halla la vulnerabilidad en el sistema.
Por su parte, el sistema Pentesting no requiere de encontrar la falla, para obtener la remuneración. Solo con el hecho de penetrar y estar dentro del sistema de seguridad de la organización, es suficiente para que el hacker reclame su contraprestación por el servicio otorgado.
