¿Qué tan bien paga la búsqueda de bugs?

¿Qué tan bien paga la búsqueda de bugs?

En algunos países, los atractivos financieros de buscar vulnerabilidades de seguridad son (aún) más sorprendentes, de acuerdo con los hallazgos de una encuesta publicada por el proveedor de plataformas de bug bounty, HackerOne.

En algunos países, los atractivos financieros de buscar vulnerabilidades de seguridad son (aún) más sorprendentes, de acuerdo con los hallazgos de una encuesta publicada por el proveedor de plataformas de bug bounty, HackerOne.

Los hackers éticos con mayores ingresos obtienen recompensas de hasta 2.7 veces más dinero que el salario recibido por un ingeniero en software a tiempo completo en su país de origen, según reveló una encuesta reciente sobre la economía, geografía y otros aspectos del bug hunting.

En algunos países, los atractivos financieros de buscar vulnerabilidades de seguridad son (aún) más sorprendentes, de acuerdo con los hallazgos de una encuesta en el Hacker Report de 2018 publicado recientemente por el proveedor de plataformas de bug bounty, HackerOne. Las conclusiones se basaron en comentarios de cerca de 1700 hackers de sombrero blanco alrededor del mundo en la que es descrita como “la mayor encuesta documentada que se haya hecho jamás sobre la comunidad del hacking ético”.  Todos los encuestados han reportado de manera exitosa al menos una falla de seguridad válida.

India y Argentina han sobresalido en particular, al hallarse que los hackers de sombrero blanco allí parecen obtener ingresos 16 y 15.6 veces más altos, respectivamente, que los de un ingeniero en software en el país. Aparentemente, el bug hunting por sí solo puede también asegurar una vida cómoda a los white-hats que residen en Egipto, Hong Kong y Filipinas, donde los multiplicadores rondan entre 8,1 y 5,4.

Hablando de recompensas financieras, parecer ser que el dinero ya no es el principal motivador para que los hackers se esfuercen en exponer fallas de seguridad. Desde 2016, ha caído hasta el cuarto puesto, mientras los hackers éticos aseguran estar más incentivados por la chance de “aprender pautas y técnicas”, mientras que  “verse desafiados” y “divertirse” empataron por el segundo lugar.

Junto con otros descubrimientos interesantes, uno de cada cuatro hackers éticos dijo no haber reportado brechas en sistemas inseguros, porque “la compañía no tenía un canal para comunicarlo”. Pero aun así, los buscadores de bugs dicen haber intentado hacer saber a la compañía de su falla a través de otros medios, sólo para ser “generalmente ignorados o incomprendidos”.

Por el otro lado, casi tres cuartos de los hackers dijeron que las compañías han estado más dispuestas últimamente a recibir reportes sobre fallas. Uno de cada tres cree que las organizaciones han incluso estado “mucho más abiertas” a recibir reportes de vulnerabilidades.

Más del 90% de los hackers éticos son menores de 35 años, y la mayoría de ellos es autodidacta. Casi la mitad de todos los encuestados tienen un trabajo a tiempo completo en la industria IT.

Los sombreros blancos tienden a enfocar sus esfuerzos en identificar vulnerabilidades en sitios web (70,8%), seguidos por APIs (7,5%), “tecnologías de las que soy usuario” (5%) y apps de Android (4,2%). En cuanto a los vectores de ataque favoritos, el cross-site scripting se ha llevado el primer lugar (28%), seguido por la Inyección SQL.

La semana pasada, el descubrimiento de una cadena de exploits remota de Android dio a un investigador chino un pago de seis cifras, el más alto en la historia del programa de Google, Android Security Rewards, y le otorgó la valiosa adición a la lista de algunos de los mejor recompensados por encontrar bugs. Sin embargo, no todo ese esfuerzo viene siempre con grandes ganancias.

Mientras tanto, unas semanas atrás se anunció que los hackers éticos comenzarán a trabajar con el Servicio Nacional de Salud del Reino Unido para mejorar su posición en materia de ciberseguridad.

HackerOne ha aumentado en diez veces su número de usuarios en dos años. Poseedores del 23% y 20% de la gran comunidad de 166.000, India y Estados Unidos, respectivamente, son por lejos los dos países con mayor representación. Más de 72.000 vulnerabilidades han sido subidas a la plataforma, con los buscadores de bugs obteniendo ingresos por encima de los $23,5 millones.

Discusión