Descarga la guía de trucos informáticos haciendo clic aquí

Las Bug bounty (recompensas de errores) no te harán rico

Hay mucha publicidad sobre las recompensas de errores, pero aquí hay algo de verdad

Bug bounty o recompensas de errores no te harán rico
Bug bounty o recompensas de errores no te harán rico

En caso de que planearas dejar tu trabajo diario para ir a matar bugs a tiempo completo para ganarte la vida, no lo hagas. Claro, algunos hackers ganan más de $ 1 millón cada año haciendo eso. Y, claro, tú también podrías hacerlo. Pero como lo ha descrito el experimentado bounty hunter (cazarrecompensas) Alex Haynes, «muy pocas personas [encontrando bugs para obtener recompensas] ganan más que un trabajador de control de plagas en Mississippi».

Sí, en serio. Este es el por qué.

Alex Haynes está certificado en CISSP, CEH, CHFI, PCIP, ISO27001 y ISO22301. Lo dicho es tomado de su propia experiencia sobre Bug bounty o Recompensas de errores en los últimos ocho años, donde he presentado más de 1000 vulnerabilidades válidas.
Bug bounty o recompensas de errores
Bug bounty o recompensas de errores

¡Eureka!… ah no

Lo que hace que los hackers tengan hambre de bug bounties (recompensas de errores) es la fiebre de la dopamina (y el dinero en efectivo de cinco cifras) cuando pasan solo unos minutos buscando errores, encuentran uno, lo denuncian y aparentemente obtienen «dinero por nada». El problema es que esto rara vez sucede para la mayoría de las personas.

Incluso cuando lo logras, dijo Haynes, hay todo tipo de razones por las cuales encontrar un error no equivale a encontrar riquezas:

  • Duplicados: «Esta es una de las frustraciones recurrentes en las bug bounties, en virtud del hecho de que otras personas están mirando lo mismo que tú, no solo tienen la audacia de encontrar las mismas vulnerabilidades que tú, sino que también pueden también las encuentran antes que tú».
  • Mini recompensas: «‘Has evitado el apocalipsis. Aquí hay $ 100′. Si bien es común encontrar compañías más pequeñas que no ofrecen grandes pagos, también es común para las compañías que deberían tener grandes pagos, pero no lo hacen «.
  • Incumplimiento de pagos: «Acabas de encontrar una vulnerabilidad, el activo está dentro del alcance, es válido, pero la compañía afirma que fue un error. Esto generalmente te enfurecerá aún más cuando regreses más tarde y de todos modos continuaron y arreglaron el error».
  • Reglas extrañas (también conocido como «Synack«): en lugar de recompensar a la primera persona en encontrar la vulnerabilidad, «se recompensa a la primera persona en encontrar una vulnerabilidad que también escribe un ensayo de 13 páginas como prueba de concepto. Por lo tanto, no puedes simplemente escribir ‘Pega esta URL en tu navegador para ver el XSS‘, tienes que dividirlo en siete pasos (no es broma) y el paso uno debe ser ‘Abre tu navegador’ (todavía no es broma)».
  • Pagos lentos: «A veces puedes esperar semanas y meses para que se solucione tu error, y aún más para que se te recompense».

Y más, incluido el regateo sobre si las vulnerabilidades graves son vistas o tratadas como tales por la compañía que paga las recompensas. El hacker está a merced de las empresas que pagan las recompensas, sin mucha influencia para garantizar que se le pague a tiempo (o en absoluto).

Y todavía….

Cualquiera puede hackear para obtener recompensa

En una pregunta al CEO de HackerOne, Marten Mickos, sobre qué hace que las Bug bounty valgan la pena, señaló el importante dinero que hacen muchos hackers. Pero también insistió en que este no era el aspecto más importante de tales programas. En cambio, dijo, las bug bounties crean «oportunidades democratizadas en todo el mundo».

Sí, unos pocos ganan mucho más que muchos, pero esto no es sorprendente. Los que tienen más experiencia tenderán a ganar más, pero la oportunidad de ganar esa experiencia (y ganar más dinero) siempre está ahí.

Mientras tanto, Mickos dijo: «Las personas súper inteligentes que están completamente comprometidas con la ciberseguridad trabajan en su tiempo libre para buscar vulnerabilidades, informarlas y ayudar a otros a explicar cómo se hizo. La seguridad de la empresa en cuestión mejora. La comprensión general de este tipo de vulnerabilidad aumenta en la industria «. Es un ciclo virtuoso, uno que debería hacer que nuestro software y sistemas sean más seguros, incluso cuando un número creciente de hackers reciben un pago por sus problemas. (Y, como Haynes deja claro, no son verdaderos problemas que necesitan ser subsanadas.)

Ser bounty hunter a veces es difícil, también es injusto y no te dan ningún favor, exactamente como en la vida real. Si entras con la mentalidad correcta, entonces encontrarás algo de diversión.
#Bugbounty #hacking
  • Si estás interesado en la ciberseguridad te recomiendo que leas el libro Hackear al Hacker de Roger A. Grimes (otro bounty hunter). De hecho hice un resumen que puedes revisarlo aquí.
Calificación de contenido.
marzo 2020
LMXJVSD
« Feb  
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Más artículos
Top500 computadores más potentes del mundo
Las computadoras más potentes del mundo 2020