¿Qué es un programa de recompensas de errores?. Con más de $1.5 mil millones de criptomonedas robadas en 2018, la industria ha demostrado ser un paraíso para los hackers. Toda la charla de que la tecnología blockchain es segura no la hace a prueba de balas. Y en cuanto al software secundario, como proveedores de carteras e intercambios, muchos siguen siendo lamentablemente vulnerables. Aquí es donde entran en acción iniciativas preventivas como un programa de recompensas por errores.
¿Qué es exactamente un programa de recompensas de errores?
En realidad, “bug bounty” se ha convertido en la palabra de moda de jour. Otros nombres para este tipo de actividad de ciberseguridad son hacking ético, hacking white hat, programa de recompensas de vulnerabilidad (VRP), etc.
Sin embargo, la diferencia clave entre un programa de recompensas de errores y la piratería blanca es que el programa es iniciado por la propia empresa. Invitan activamente a los hackers a buscar defectos en su sistema y compensarlos cuando lo hacen.
Muchos sitios web y proveedores de software pagan una compensación saludable a los hackers éticos que encuentran defectos e informan de ellos. Los informes de errores deben contener suficiente información para que la empresa pueda reproducir la vulnerabilidad por sí misma.
La compensación es de acuerdo con el tamaño y la escala de la vulnerabilidad y el impacto que podría tener. Según fuentes, Mozilla normalmente pagó una cuota fija de $3,000 por recompensa, mientras que Facebook ha pagado hasta $20,000. Apple incluso bombardeó hasta $200,000 por un defecto en sus componentes de firmware de arranque seguro iOS.
Detener a los hackers antes de que se haga el daño
Mantenerse un paso por delante de los hackers es esencial. Es por eso que las compañías de blockchain siempre deberían tener algún tipo de programa de recompensas de errores o Evaluación de seguridad continua de Crowdsource (OCSA) en su lugar. Sin embargo, de acuerdo con la investigación sobre los 100 principales intercambios de criptomonedas, solo el 13% de ellos lo hacen.
Los programas de recompensas por errores suelen ser muy eficaces, pero pueden ser controvertidos. Después de todo, básicamente estás incentivando la actividad ilegal, o peor aún, alentando a los hackers que ya roban fondos a ganarse la vida extra.
Dicho esto, un programa de recompensas por errores también puede resultar en empleo y relaciones duraderas, como es el caso de los especialistas en ciberseguridad Red4Sec y NEO.
Un ejemplo de hacking ético como servicio
Según los cofundadores de Red4Sec, Fernando Díaz Toledanos y Jaime Kindelan, los programas de recompensas de errores son aún más relevantes en blockchain que las aplicaciones tradicionales de Internet. ¿Por qué? Debido a la inmutabilidad de blockchain.
Jaime explica: “La principal diferencia es que si cometes un error con blockchain, es inmutable. Por lo tanto, si encuentras un problema, es mucho más difícil de solucionar. La cadena de bloques está diseñada para no cambiarse. Por lo tanto, es mucho más importante estar al tanto de todos los problemas potenciales en la fase inicial”.
Fernando hace eco de sus palabras: “Si encuentras un defecto en la cadena de bloques, no es tan fácil cambiarlo. Ya está escrito en la cadena de bloques, no es como la web. Al igual que con los hacks, una vez que los fondos se han ido, se han ido. Por lo tanto, es mucho más crítico concentrarse en la seguridad y la prevención en la fase inicial”.
Aquí es donde entra en juego la piratería ética (o recompensas de errores). El equipo de Red4Sec ha ofrecido servicios tradicionales de ciberseguridad durante muchos años. Pero, apasionados por la nueva tecnología y siempre en la búsqueda de aprender más, comenzaron a analizar blockchains en 2017 y decidieron centrarse en NEO.
Jaime recuerda: “A través de nuestro análisis, encontramos un par de vulnerabilidades importantes y las reportamos a NEO. Les gustó cómo lo hicimos, nos dieron una compensación y una prueba de tres meses monitoreando su blockchain. Desde entonces, hemos seguido trabajando con ellos y con los desarrolladores de la Ciudad de Sión también.”
Fernando interrumpe: “Tenemos una muy buena relación con ellos ahora, en realidad somos miembros de la Ciudad de Sión y también somos miembros del equipo de desarrollo central de NEO. Estamos muy cerca”.
Poniéndote en la piel de un hacker
Pregunto qué es lo primero que hacen cuando buscan formas de hackear una cadena de bloques. Y para los lectores que no lo sabían, es un mito que los blockchains no pueden ser hackeados. Es solo que las compensaciones de esfuerzo frente a recompensa son más altas en algunos blockchains que en otros.
Piratear Bitcoin blockchain, por ejemplo, es técnicamente posible, pero requeriría los recursos de un país pequeño y el pago sería menor que el gasto. Las cadenas de bloques más pequeñas y las cadenas de bloques privadas son objetivos mucho más fáciles.
Jaime continúa: “Lo que hacemos es analizar el código de la aplicación, el contrato inteligente o la cadena de bloques en sí y asegurarnos de que no haya vulnerabilidades de seguridad.
“Luego hacemos una fase auditiva.... Nos ponemos en la piel del hacker y tratamos de pensar en cómo un hacker atacaría y cómo robarían el dinero. Una vez que hemos encontrado el camino, lo corregimos para que la ventana de oportunidad se haya ido.”
Pensamientos finales
Las recompensas de errores, la piratería ética y cualquier tipo de programa que encuentre fallas antes que los hackers son vitales para la seguridad y la evolución continuas de la tecnología blockchain.
Empresas como Red4Sec ciertamente tienen mucho trabajo considerando el gran volumen de brechas y hacks en intercambios, blockchains y contratos inteligentes. Sin embargo, incluso contemplando una superficie de ataque cada vez más grande, este equipo no se ve disuadido. Todavía creen que blockchain es el futuro y que todas las aplicaciones eventualmente migrarán a él.
Y aunque hay muchas brechas, Fernando termina con una nota positiva: “Cuando comenzamos con la seguridad de blockchain, definitivamente vimos muchos proyectos que eran laxos con su seguridad y no lo investigaron lo suficiente. Últimamente hemos visto mucha más conciencia sobre la seguridad, y definitivamente está mejorando”.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.