Las compañías de internet pagan por detectar errores

Firmas como Google, Mozilla y HP dan recompensas de 500 a 60 mil dólares a quien ayude a descubrir fallas graves en su seguridad.
PayPal diseña nuevos sistemas de protección para usuarios.
PayPal diseña nuevos sistemas de protección para usuarios. (Shutterstock)

FT.com

Preocupada por la protección de los datos personales y financieros de sus usuarios, PayPal, firema de pagos en línea, introdujo un sistema de nombre “autenticación de dos factores”.

Para iniciar sesión, los usuarios primero deben introducir su nombre de usuario y contraseña. Después reciben un código de seguridad por teléfono móvil que tienen que teclear para poder entrar. La idea es crear una barrera adicional que dificulta a los delincuentes el ingreso a la cuenta.

El único problema fue que esta línea de defensa adicional tenía un defecto importante. El año pasado, un grupo de hackers informáticos de Duo Security, una compañía de seguridad cibernética con sede en Michigan, descubrió un problema con la aplicación móvil de PayPal que significaba que era posible superar la segunda barrera debido a un error desconocido en los sistemas de la firma de pagos electrónicos.

Zach Lanier, investigador de seguridad de Duo, dice que los usuarios pudieron sentirse “tranquilos con una falsa sensación de seguridad, sin saber que un mecanismo de seguridad no cumplía con lo que prometía”

PayPal tuvo suerte de que fue el equipo de Lanier el que descubrió el problema. Duo pudo advertir a la compañía a través del programa bug bounty (recompensas por detección de errores), que le paga a las personas que descubren vulnerabilidades de seguridad. Duo Security se embolsó la recompensa mientras que PayPal arregló el error antes de dar a conocer públicamente cómo lo descubrió.

Google, Mozilla y Hewlett-Packard se encuentran entre los grupos de tecnología con programas de recompensas por detección de errores. Las recompensas van desde 500 dólares por detectar errores pequeños hasta 60 mil dólares por descubrir fallas graves.

A través de estos programas ya se pagaron millones de dólares a hackers individuales y empresas de seguridad. Al dar a conocer el programa de recompensas por detección de errores de Facebook en 2011, Joe Sullivan, director de seguridad de la red social, escribió en la página web de la compañía: “Nos damos cuenta...de que hay muchos expertos en seguridad talentosos y con buenas intenciones que no trabajan para Facebook. Establecimos este programa en un esfuerzo por reconocer y recompensar a estas personas por su buen trabajo y alentar a que otros se unan”.

En 2014, Facebook pagó mil 300 millones de dólares a hackers por sus favores.

No hay manera de que las compañías puedan crear defensas perfectas en línea. Detrás de cada sitio web o aplicación hay líneas de códigos. Y como éstas las escriben humanos, las defensas pueden variar desde que están bien construidas hasta que son descuidadas y defectuosas.

En teoría, gracias a las recompensas por detección de errores, algunos hackers pueden tener ingresos decentes solo con la búsqueda de fallas de seguridad. Sin embargo, la mayoría de los que participan en los programas son profesionales de informática que descubren los errores en su tiempo libre para ganar un dinero extra, o se cruzan con los problemas por casualidad.

Pero puedes descubrir que no siempre es una buena idea acercarse a una compañía para hablarles de sus defectos o errores. En 2011, Patrick Webster, un investigador de seguridad, encontró un problema en First State Super, un grupo australiano de inversión que supuestamente dejó en riesgo a millones de sus clientes. Cuando les habló sobre el problema, la compañía lo denunció con la policía. (Más tarde retiraron las demandas civiles y judiciales).

Sin embargo, los programas de recompensas para la detección de errores se volvieron tan populares entre las grandes firmas de tecnología que empiezan a surgir startups en torno a lo que se empieza a convertir en un negocio rentable. El año pasado, HackerOne, una compañía de seguridad cibernética que empezó Alex Rice, quien anteriormente dirigió el equipo de productos de seguridad de Facebook, recaudó 9 mdd en financiamiento de Benchmark Capital, una firma de capital de riesgo de Silicon Valley.

La startup desarrolla una plataforma de software a través de la cual la gente puede reportar los errores a las compañías y que estas les paguen por informar de fallas y al mismo tiempo evitan la atención no deseada de la policía. Hasta el momento, HackerOne ya facilitó más de un millón de dólares en pagos por cerca de 4 mil informes.

Al explicar sus motivos, la compañía dice: “Hay una inquietante falta de confianza y consistencia en relación en cómo las personas reportan las vulnerabilidades y cómo las organizaciones responden a ellas...estamos convencidos de que debemos cambiar dramáticamente la forma cómo el mundo maneja la investigación de seguridad si tenemos alguna esperanza de avanzar en el estado de seguridad. Construimos HackerOne para darle poder al mundo de poder construir un internet más seguro”.

Bugcrowd es otra compañía que quiere convertirse en un repositorio central de reportes de fallas. En marzo, la compañía, que actúa como una plataforma de crowdsourcing (participación colectiva externa) para los investigadores de seguridad anunció que recaudó 6 mdd en financiamiento de inversionistas. En total, Bugcrowd ya recaudó 9 mdd desde que su fundación en 2012, con compañías como Western Union, el grupo estadunidense de servicios financieros, lanzan programas de recompensas por detección de errores a través de sus sitios.

Dado el aparente éxito de los programas, algunas personas, como Brian Krebs, un experto de seguridad cibernética y bloguero, incluso sugirió que los programas de recompensas para detección de errores deben ser obligatorios, y que todas las compañías deben pagar cuando les informen los problemas de seguridad. La idea es que esto creará enormes mejoras de seguridad en todo internet. Pero otros advierten que ese tipo de programas no son buenos para todas las firmas.

Chris Wysopal, director de tecnología de Veracode, una compañía de seguridad en línea, dice que las organizaciones no deben intentar poner en marcha programas de recompensas para detección de errores a menos de que cuenten con un sólido equipo de hackers que pueda responder a cualquier problema que se descubra.

Después de todo, la única cosa peor a que te muestren un hueco en tu defensa en línea es la incapacidad de cerrarlo.

1,300 mdd

Gasto de Facebook en el programa de detección de errores en 2014; el plan arrancó en 2011

9 mdd

Recaudación de Bugcrowd, una firma que quiere convertirse en un repositorio central de reportes de fallas