Tecno

La búsqueda de errores de software es un negocio en auge para unos y arriesgado para otros

single-image

En el mundo informático como todo invento del ser humano, nada es perfecto y continuamente ocurren mejoras (actualizaciones) para corregir errores (bugs, termino informático correcto) que permitan el correcto desempeño y funcionamiento de los software a los cuales se les interviene.

En este ecosistema son comunes los Cybersleuths, independientes hackers informáticos que pueden ayudar a las empresas a encontrar defectos en su código fuente. Pero los cazadores de errores bien podrían caer en contra de las leyes anti-piratería.

Existen numerosas micro empresas y emprendimientos mediante la figura del crodwsourcing en cada vez mas creciente auge, que dedican su tiempo, recursos y esfuerzos a buscar las fallas en el software de compañías dispuestas a pagarles por los errores que encuentran. Son como la especie de Ubers del mundo de la seguridad digital.

Muchos de estos hackers (algunos independientes) han tenido alguna experiencia en la industria de seguridad de TI y se cuentan en miles. Algunos todavía tienen trabajos y cazan clientes en su tiempo libre, mientras otros se ganan la vida a tiempo completo en esta actividad en particular.

Lo que si esta claro, es que están ayudando a que el código sea mas seguro en un momento en que los ataques aumentan rápidamente y el costo de mantener equipos de seguridad internos dedicados se esta disparando.

Los mejores pueden hacer sumas de dinero significativas. HackerOne, que tiene mas de 200 mil usuarios registrados, dice que alrededor del 12% de ellos ganan $ 20 mil dolares al año y el 3% mas de $ 100 mil; lo cual da una idea del potencial del mercado en curso.

+

Los hackers usan esta plataforma mayormente en los Estados Unidos y Europa, pero también de forma mas minoritaria en aquellos países donde vale la pena ocupar el tiempo completo para ganar buenas sumas de dinero.

Lo que si podemos observar es que la demanda por estos “piratas informáticos éticos” es cada vez mayor en grandes corporaciones como GM, Microsoft y Starbucks; donde han puesto en practica “programas de recompensas de errores” que ofrecen a cambio de sumas lucrativas la detección e información de errores en sus software.

Plataformas como Bugcrowd son ejemplo de este tipo de emprendimientos que pueden ayudar alertar a la comunidad de piratas informáticos sobre los programas que se lanzan, priorizar los errores enviados a las empresas y manejar cosas como pagos.

En un momento en que los expertos pronostican que 3.520.000 puestos de ciberseguridad en todo el mundo estarán vacantes para el año 2021 porque no hay suficientes trabajadores calificados, los autónomos pueden aliviar parte de la tensión en los equipos internos de las grandes empresas y así lo ve Richard Rushing, director de seguridad de la información del fabricante de teléfonos inteligente Motorola Mobility; el cual opina que las búsquedas de errores colectivos es mas eficiente por que mas ojos escudriñan a profundidad el código y los cazadores informan fallas de software rápidamente para obtener recompensas antes que sus rivales.

Vulnerabilidades en Softwares

Aun así, las plataformas enfrentan un par de grandes desafíos. Una es seguir expandiendo el grupo de cazadores de errores con talento y la otra es establecer una mayor claridad legal sobre las herramientas y técnicas que los hackers éticos pueden usar con seguridad.

Las tácticas populares como el uso de ataques de inyección, que involucran inserción de código en aplicaciones de software que podrían cambiar la forma en que se ejecutan los programas, podrían llevar a enjuiciamiento bajo leyes anti hacking como la Ley de Abuso y Fraude Informático de los Estados Unidos (CFAA).

Ya han habido casos en que los investigadores de seguridad y los reporteros se han enfrentado a posibles acciones legales por desenterrar e informar vulnerabilidades en el código de ciertas empresas.

En el frente legal, las plataformas como HackerOne están presionando para que se inserte mas lenguaje de “puerto seguro” en los contratos que regulan las recompensas por errores. El objetivo, dice Adam Bacchus de HackerOne, es lograr que las empresas tengan claro que si los hackers siguen las reglas del juego dentro de lo razonable, no terminaran siendo llevados ante los tribunales.

 
The following two tabs change content below.

Daniel Jimenez

Ingeniero y apasionado de la tecnologia Blockchain y del Bitcoin desde el 2009.

Latest posts by Daniel Jimenez (see all)

Deja un comentario