Bug Bounty en Chile: se buscan (más) hackers para Fintual

Cristian "Tama" Bravo Lillo -

¿Te acuerdas del hacker que ayudó a encontrar una vulnerabilidad grave en un banco chileno en 2018?

Lo contratamos.

Si hay algo que me gusta de trabajar en Fintual, es que acá te encuentras con gente bacán trabajando con un objetivo común: hacerle la vida fácil a quien invierte su plata, no importa si quiere invertir 100 pesos o 100 millones de pesos.

Para nosotros, que somos una empresa completamente en línea, la tecnología y la seguridad de la información son fundamentales. Es por eso que buscamos más personas para que nos hackeen y nos ayuden a mejorar.

En serio. Pero con hackeos en buena eso sí.

Debes pensar “¿qué onda estas personas que quieren que los hackeen?”.

Pero esto no es ni radical ni nuevo: hay muchas iniciativas de “caza de bugs” o Bug Bounty programs. Los “cinco grandes de la tecnología” tienen uno (Apple, Facebook, Google, Microsoft y Amazon), además de empresas como Intel, Yahoo, Dropbox, Uber, Paypal, Shopify, Twitter y un largo etcétera.

¿Qué es un Bug Bounty?

Es un programa en el que, bajo condiciones bien definidas, se le pide a la comunidad de hackers que busque sistemáticamente vulnerabilidades en un sistema o aplicación. A aquellos que reportan cosas que se consideren fallas o problemas, se les paga una cantidad específica.

Las condiciones de un programa de Bug Bounty se publican en una política, que es como un contrato entre la institución y la o el hacker, donde, entre otras cosas, se compromete a no hacer daño con sus pruebas.

Si te interesa, aquí está nuestra política de Bug Bounty.

Bugs aceptados

Estamos muy contentos con el programa porque nos ha permitido entender y corregir varios problemas de seguridad, sobre todo al comienzo.

Pero creemos que podría ser mucho mejor: nos gustaría tener más reportes, de más hackers y de más lugares en el mundo.

Algunos datos:

  • Partimos con el programa el 6 de julio de 2020.
  • Al 10 de febrero de 2022, hemos pagado USD$8.750 y casi CLP$107.000 en 71 reportes de bugs aceptados.
  • Estos han dado lugar a 37 mejoras en el código y a 28 mejoras de otro tipo (por ejemplo, ajustes en firewalls o mejoras en filtros en redes).
  • Un total de 59 hackers de distintos lugares han enviado reportes. A 34 de ellos les hemos aceptado sus reportes y les hemos pagado.

Nuestra escala de pago es así:

  • Bugs de impacto pequeño: USD$50.
  • Bugs de impacto medio: USD$150.
  • Bugs de alto impacto: USD$500.
  • Bugs críticos: USD$5.000.

Cada reporte que nos llega lo analizamos con cuidado y decidimos el impacto que tiene para nosotros. Durante el programa completo -desde su inicio- hemos pagado por 66 bugs de impacto pequeño, 4 bugs de impacto medio y solo un bug crítico.

Como dato freak, de los 71 reportes, solo 3 fueron de hackers chilenos. El resto provino en su mayoría de India y otros países.

En el gráfico abajo se ve el número de reportes recibidos y aceptados desde julio de 2020 hasta diciembre pasado.

En general hemos tenido una llegada relativamente estable de bugs.

Los 3 meses en que hemos tenido más reportes fueron julio de 2021 (36 reportes), luego julio de 2020, que fue cuando recién comenzamos el programa (34 reportes), y septiembre de 2021 (27 reportes).

Tenemos algunas ideas sobre por qué se produjeron esos aumentos en julio y septiembre del año pasado, pero no hemos encontrado hasta ahora nada que sea atribuible a nosotros.

La realidad es mucho mejor

Por culpa de algunas películas, la imagen que tenemos de los hackers es un estereotipo: jóvenes genios, introvertidos y renegados, con alguna clase de desorden de personalidad y con habilidades casi mágicas para entrar y controlar cualquier clase de aparato tecnológico.

La realidad es mucho mejor: mujeres y hombres de diversas áreas del conocimiento, de distintas edades, y con un enorme interés por entender la tecnología y ayudar a resolver los problemas y errores que vienen de la interacción entre personas y programas.

Si eres hacker, eres bacán en lo que haces y te gustó esa descripción, queremos saber de ti.

Si te gustó este artículo y tienes un comentario o algo para complementarlo, escríbenos a cartas@fintual.com. Publicamos las más destacadas.