El enfrentamiento entre los programas de recompensas por errores y las pruebas de penetración

El 22 de marzo de 2018, Netflix inició un programa de “recompensa por errores” que compensa a los piratas informáticos que informan sobre vulnerabilidades a la empresa. Esto es algo que la compañía ha hecho durante los últimos cinco años, pero solo en un entorno restringido. Ahora que ha abierto el programa al público, una gran cantidad de piratas informáticos examinarán el sitio de forma exhaustiva.

Esta práctica puede parecer un poco caótica, pero muchas personas afirman que pagar a extraños para que pirateen su sitio web es una de las formas más efectivas de protegerlo contra posibles amenazas. La pregunta, sin embargo, es si los programas de recompensas por errores son realmente más efectivos que tener un equipo interno de pruebas de penetración.

Cómo funcionan las pruebas de penetración

Las pruebas de penetración son una parte normal del ciclo de desarrollo que generalmente se realiza antes de que un producto se lance al público. Se trata de un equipo de personas, ya sea subcontratadas o internas, que intentan “piratear” el software o sistema que la empresa quiere lanzar. Luego informan todas las vulnerabilidades encontradas en la plataforma, lo que permite a los desarrolladores solucionar estos problemas antes de que se conviertan en molestias más adelante.

Durante las pruebas de penetración, el equipo suele seguir un procedimiento establecido para descubrir todas las posibles vulnerabilidades. Esto puede implicar el uso de técnicas que los piratas informáticos suelen utilizar para infiltrarse en sistemas y software. Lo que termina con es una lista completa de áreas críticas en su software que la mayoría de los piratas informáticos podrían subvertir.

¿Qué hace que las recompensas por errores sean tan atractivas?

bugbounty-crowdsourcing

Cuando crea un programa de recompensas por errores, básicamente le está diciendo al público que está dispuesto a pagar una cantidad determinada de dinero a cualquiera que logre informarle una vulnerabilidad significativa. Para ejecutar una recompensa de errores exitosa, debe establecer un par de reglas básicas para que la gente sepa qué tipo de comportamiento es inaceptable durante dicha búsqueda.

A pesar de lo contrario a la intuición que pueda parecer tener este tipo de política, las recompensas por errores ofrecen una cierta cantidad de ventajas sobre las pruebas de penetración tradicionales:

  • A los participantes de la recompensa se les paga una vez que se encuentra una vulnerabilidad, lo que crea un incentivo para hacer un barrido completo de todo el software. Las pruebas de penetración no presentan estos incentivos, ya que a los miembros del equipo se les paga independientemente de lo minuciosos que sean.
  • Las recompensas brindan a miles de hackers expertos la oportunidad de probar su temple, proporcionando una increíble cantidad de perspectivas. Los equipos de pruebas de penetración tienden a tener un tamaño limitado. Independientemente de su habilidad, su perspectiva es limitada.
  • Muchos participantes de las recompensas de errores son profesionales capacitados a tiempo completo que participan en varias cacerías diferentes al mismo tiempo.
  • Las empresas con grandes “superficies de ataque” (es decir, software que es muy propenso a infracciones) pueden descubrir errores que sus propios equipos habían omitido anteriormente.
En relación :  Los 5 principales atracos que toman menos tiempo en GTA Online

Por qué las pruebas de penetración siguen siendo relevantes

prueba de penetración de recompensa de errores

Las recompensas por errores pueden ser excelentes y todo, pero no necesariamente funcionan para empresas que no tienen comunidades enormes. Es la razón por la que las pruebas de penetración siguen siendo un gran fenómeno. Si es una empresa de software de suministros médicos, por ejemplo, es posible que no obtenga tantos participantes dispuestos como, por ejemplo, un estudio de videojuegos con una comunidad de decenas de miles de personas.

Las pruebas de penetración aún ofrecen otras ventajas que podrían convencer a las empresas de que renuncien por completo a la idea de recompensas por errores:

  • Minimiza el riesgo de que sus vulnerabilidades se expongan al público antes de tener la oportunidad de corregirlas. Incluso si establece una regla en contra de esto en su recompensa de errores, la gente seguramente lo malinterpretará.
  • Las empresas de pruebas de penetración subcontratadas pueden ofrecer una certificación que sea importante para sus clientes.
  • La calidad de los informes suele ser mucho mayor en las pruebas de penetración.
  • Es útil en mercados altamente regulados (como el procesamiento de pagos y cualquier cosa que maneje datos bancarios / de débito / tarjetas de crédito).

¿Te sientes más seguro usando Netflix debido a su programa de recompensas por errores? ¿O habría sido mejor para la empresa trabajar con un equipo de pruebas de penetración? ¡Cuéntanoslo todo en un comentario!

Moyens Staff
Moyens I/O Staff te ha motivado, brindándote asesoría en tecnología, desarrollo personal, estilo de vida y estrategias que te ayudarán.