A la hora de cazar bugs, las compañías más importantes de la Web tienen varias opciones a su alcance, pero la más efectiva probablemente sea hacer circular algunos billetes, recompensado a expertos y entusiastas alrededor del mundo. Así nace HackerOne, una iniciativa con el respaldo de Facebook y Microsoft.
Mientras escribo estas líneas, probablemente haya alguien frente a una pantalla estudiando código y buscando una vulnerabilidad. Ahora, no tengo idea de qué hará en caso de que encuentre una. Si trabaja para una firma de seguridad, es posible que reporte el bug a la compañía que desarrolla el producto o servicio afectado. Si su intención es maliciosa, todo depende de qué tan grave sea el error. Pero hay otra opción, y es la de recibir un pago directo por su descubrimiento. Google, Microsoft y otras compañías han activado sus propios programas de recompensas destinados a entusiastas y profesionales de la seguridad, y algunas de las cifras en efectivo que se han entregado hasta aquí son impresionantes.
Ahora, llega el turno de HackerOne, una iniciativa que tiene a Microsoft y Facebook como patrocinadores principales. Su objetivo es sencillo: HackerOne presenta una lista de software directamente relacionada con la Web. Todo lo que tienen que hacer los interesados es escoger un ejemplar, y comenzar a hackearlo. Si encuentran algo que sea considerado relevante para la seguridad del programa (o servicio) y de los usuarios que lo utilizan, recibirán una recompensa que pueden conservar ellos, o donar a la organización de su preferencia. ¿De qué clase de tecnologías hablamos? En la lista aparecen cosas como Python, PHP, Ruby y OpenSSL, mientras que las recompensas más grandes están destinadas a bugs en el funcionamiento propio de Internet (problemas en SSL o DNS) y en los llamados “escapes de sandbox”. En estos dos últimos casos, la recompensa mínima es de cinco mil dólares.
HackerOne está bajo la administración de un panel con representantes de Microsoft, Facebook, Google, el sitio de comercio electrónico Etsy y la compañía de seguridad iSEC Partners. En ciertos mercados, estos nombres son competidores, pero la seguridad (o su falta) afecta tanto a las compañías como a los usuarios que dependen de ellas. Si el respaldo económico está allí, no es una mala idea darle un buen uso purgando bugs.