¿Qué es Bug Bounty?
Bug Bounty, un concepto americano iniciado en 1994, es un método alternativo a las auditorías habituales basado en la colaboración.
Un Bug Bounty es una recompensa que una empresa ofrece a todos aquellos que encuentran vulnerabilidades en un ámbito determinado y autorizado. Ese ámbito puede ser un sitio web, una aplicación, una API, etc.
Depende de la empresa determinar qué servicios podrá explorar la gente en busca de vulnerabilidades de seguridad. Hay algunas reglas que respetar y cada Bug Bounty debe establecer claramente los límites que los hackers no deben sobrepasar.
Se ofrece una recompensa de acuerdo con la importancia y severidad de las vulnerabilidades encontradas en el sistema.
El monto de la recompensa es bastante variable, dependerá del tipo de vulnerabilidad encontrada y de la calificación de vulnerabilidad asociada a ella.
Cuanto más crítica sea la vulnerabilidad, compleja, bien documentada con, si es posible, una PoC (Proof of Concept), recomendaciones e incluso un patch, mayor será la recompensa.
Es un concepto en constante crecimiento que representa una solución simple, flexible y menos cara para las empresas.
¿Por qué Bug Bounty?
Rápido de lanzar, garantiza resultados, transparente y gratuito si no se encuentran vulnerabilidades.
Gracias a Bug Bounty, los sistemas de seguridad de las empresas son probados constantemente por un equipo de hackers éticos que proporcionan un feed-back rico y variado.
Con un programa eficiente de Bug Bounty, una empresa puede hacer que la seguridad de su sitio web o de sus herramientas sea probada sin interrupción, las 24 horas del día, por cientos de hackers diferentes, por un precio mucho menor que las auditorías tradicionales.
Este, es el punto fuerte de Bug Bounty.
Nuestras plataformas de aprendizaje y entrenamiento de Bug Bounty se ofrecen en colaboración con nuestro socio Yes We Hack.