Una especialidad que se ha puesto muy de moda estos últimos años es la de Bug Hunter, es decir, la persona que se dedica al Bug Bounty.
Pero… ¿Qué es el Bug Bounty?
El Bug Bounty consiste en la búsqueda de vulnerabilidades, de forma que cuanto más crítica sea la vulnerabilidad encontrada, mayor es el bounty (la recompensa 💰💰💰) por haberla identificado. Por lo que este tipo de perfiles se encuentran dentro del equipo ofensivo.
Pero ojo, esto no es tan fácil como suena, debes tener una serie de factores en cuenta:
El target sobre el que se realiza la búsqueda de vulnerabilidades debe estar dado de alta en plataformas de bug bounty, es decir tienen un programa de Bug Bounty publicado.
Cada empresa tiene sus especificaciones y debes tenerlas en cuenta, y piensa que si no respetas esto puedes estar haciendo pruebas ilegales (con las correspondientes repercusiones legales) 😅
La vulnerabilidad debe encontrarse dentro del alcance (scope) que la empresa ha delimitado en la plataforma de bug bounty.
No sólo debes encontrar la vulnerabilidad para cobrar la recompensa, debes ser la primera persona en reportarla (sino será marcada como duplicada y no hay premio).
Otros aspectos muy positivos del Bug Bounty son:
Es una forma de mejorar y practicar técnicas de hacking en entornos reales de verdad (pero recuerda: siempre dentro del alcance).
Puedes consultar informes de vulnerabilidades ya reportadas que son públicos y que te pueden servir para seguir aprendiendo.
Te puedes llevar un dinerillo extra si encuentras vulnerabilidades 🤑
Parece muy bonito, ¿verdad? Hay muchos profesionales que ya viven de esta actividad o la tienen como un extra de ingresos.
Pero también tiene cosas no tan positivas:
Como todo en esta vida, tiene dos caras, y si hablamos de Bug Bounty tenemos que comentar lo que no es tan bonito.
Por un lado la frustración que puede aparecer cuando no se encuentran vulnerabilidades que reportar o cuando las que se reportan se marcan como duplicadas.
El hecho de no tener garantizado un sueldo cada mes y que éste sea variable ya que dependerá de lo que seas capaz de encontrar.
Puede ser necesario una inversión de tiempo elevada al comenzar que unido a los dos puntos anteriores, recomendamos pensarlo bien antes de decidir dedicarse al 100% a este área.
Si quieres conocer más sobre este mundillo, en Github, Twitter y Telegram hay perfiles, canales y grupos en los que se comparten consejos, herramientas e informes que te ayudarán a seguir aprendiendo.
El debate
La existencia de esta relativamente “nueva” especialidad dentro de seguridad ofensiva, va ligada a algunos debates dentro del sector:
Hay quienes consideran que no debería existir y que si todos nos dedicáramos a ello se verían afectados los servicios tradicionales, ya que tendrían menos clientes pagando por auditorías tradicionales y por tanto menos beneficios. Pero si todos nos dedicáramos a ello, ¿seríamos capaces de vivir todos de ello?
También que para los grandes clientes es más rentable hacer programas de BugBounty, pagas la recompensa de las vulnerabilidades que se encuentren, pero las pruebas son realizadas por un mayor número de profesionales con diferentes conocimientos y especializados en diferentes vulnerabilidades, si se echan cuentas ¿sale mejor que un plan de auditorías anuales?
¿Qué opinas? Te leo en comentarios.
Bonus track: No te lo puedes perder
Resumen de lo que ha pasado estos quince días:
Aprovecho para recordarte que sale una nueva edición del Curso de Auditoría y Hacking Web (CHAW), si lo compras antes de julio, entrarás en una edición especial con seguimiento de las clases en directo, no pierdas esta oportunidad.
Si estás empezando en ciberseguridad, o si llevas tiempo ya en el sector, he preparado un vídeo con 7+1 consejos para empezar, pero algunos de ellos son para todo el mundo y no viene mal recordarlos de vez en cuando.
La semana pasada tuvimos a Irene Cotillas y Juan Carlos Fernández enseñándonos la charla que dieron en RootedCON. Si no pudiste verla.en directo, la tienes disponible en nuestro canal de YouTube :)