Así funcionan las recompensas por encontrar vulnerabilidades

La firma Vulnerability Lab ha publicado un estudio en el que ha analizado las recompensas que ofrecen las empresas a las personas que encuentren vulnerabilidades.

El informe muestra como los conocidos como programas “Bug Bounty”, en los que algunas empresas ofrecen dinero a los usuarios que detecten problemas de seguridad informática, se encuentran al alza por los ataques a compañías como Sony o Target.

Aunque existen casos como el de Apple, que solo ofrece un reconocimiento público a las personas que localicen vulnerabilidades en su software y hardware, lo habitual es que las empresas aporten una recompensa económica.

Asimismo, hay ejemplos de empresas que solo aportan beneficios no económicos, o bien ofrecen estos combinados con una recompensa monetaria.

El estudio de Vulnerability Lab asegura que si se trata del descubrimiento de exploits Zero Day, el dinero abonado por las organizaciones suele llegar hasta cantidades de cinco cifras.

En ese sentido, las empresas tratan de evitar que los hackers acudan al mercado negro y vendan allí los problemas y vulnerabilidades que hayan localizado.

En total, actualmente se encuentran activas por encima de 420 iniciativas “Bug Bounty”, y 231 de ellas incluyen una recompensa económica de mayor o menor cuantía.