El 22 de marzo de 2018, Netflix inició un programa de «recompensa de errores» que compensa a los piratas informáticos que informan vulnerabilidades a la empresa. Esto es algo que la empresa ha hecho durante los últimos cinco años, pero solo en un entorno restringido. Ahora que ha abierto el programa al público, tendrá una gran cantidad de piratas informáticos revisando el sitio extensamente.
Esta práctica puede parecer un poco caótica, pero muchas personas afirman que pagar a extraños para que pirateen su sitio web es una de las formas más efectivas de protegerlo contra posibles amenazas. Sin embargo, la pregunta es si los programas de recompensas por errores son realmente más efectivos que tener un equipo interno de pruebas de penetración.
Cómo funcionan las pruebas de penetración
Las pruebas de penetración son una parte normal del ciclo de desarrollo que generalmente se realiza antes de que un producto se lance al público. Se trata de un equipo de personas, ya sea subcontratadas o internas, que intentan «piratear» el software o el sistema que la empresa quiere lanzar. Luego informan todas las vulnerabilidades encontradas en la plataforma, lo que permite a los desarrolladores solucionar estos problemas antes de que se conviertan en molestias más adelante.
Durante las pruebas de penetración, el equipo suele seguir un procedimiento establecido para descubrir todas las vulnerabilidades posibles. Esto puede implicar el uso de técnicas que los piratas informáticos suelen utilizar para infiltrarse en sistemas y software. Lo que termina es una lista completa de áreas críticas en su software que la mayoría de los piratas informáticos podrían subvertir.
¿Qué hace que las recompensas por errores sean tan atractivas?
Cuando crea un programa de recompensas por errores, básicamente le está diciendo al público que está dispuesto a pagar una cantidad fija de dinero a cualquiera que logre informarle una vulnerabilidad significativa. Para ejecutar una recompensa de errores exitosa, debe establecer un par de reglas básicas para que las personas sepan qué tipo de comportamiento es inaceptable durante dicha búsqueda.
A pesar de lo contradictorio que pueda parecer tener este tipo de política, las recompensas por errores ofrecen una cierta cantidad de ventajas sobre las pruebas de penetración tradicionales:
- A los participantes en la recompensa se les paga una vez que se encuentra una vulnerabilidad, lo que crea un incentivo para hacer un barrido completo de todo el software. Las pruebas de penetración no presentan estos incentivos, ya que a los miembros del equipo se les paga independientemente de cuán minuciosos sean.
- Las recompensas brindan a miles de piratas informáticos expertos la oportunidad de probar su temple, brindando una cantidad increíble de perspectivas. Los equipos de pruebas de penetración tienden a tener un tamaño restringido. Independientemente de su habilidad, su perspectiva es limitada.
- Muchos participantes de bug bounty son profesionales hábiles a tiempo completo que participan en varias cacerías diferentes al mismo tiempo.
- Las empresas con grandes «superficies de ataque» (es decir, software que es muy propenso a las infracciones) pueden descubrir errores que antes no detectaban sus propios equipos.
Por qué las pruebas de penetración siguen siendo relevantes
Las recompensas por errores pueden ser geniales y todo eso, pero no necesariamente funcionan para empresas que no tienen comunidades enormes. Es la razón por la que las pruebas de penetración siguen siendo un gran fenómeno. Si es una empresa de software de suministros médicos, por ejemplo, es posible que no obtenga tantos participantes dispuestos como, digamos, un estudio de videojuegos con una comunidad de decenas de miles de personas.
Las pruebas de penetración aún ofrecen otras ventajas que podrían convencer a las empresas de renunciar por completo a la idea de las recompensas por errores:
- Minimiza el riesgo de que sus vulnerabilidades se expongan al público antes de que tenga la oportunidad de solucionarlas. Incluso si establece una regla en contra de esto en su recompensa por errores, la gente seguramente lo malinterpretará.
- Las empresas de pruebas de penetración subcontratadas pueden ofrecer una certificación que es importante para sus clientes.
- La calidad de los informes suele ser mucho mayor en las pruebas de penetración.
- Es útil en mercados altamente regulados (como el procesamiento de pagos y cualquier cosa que maneje datos de tarjetas bancarias/débito/crédito).
¿Se siente más seguro usando Netflix debido a su programa de recompensas por errores? ¿O hubiera sido mejor para la empresa trabajar con un equipo de pruebas de penetración? ¡Cuéntanoslo todo en un comentario!