Los programas de recompensa por errores han sido un tema muy candente últimamente.
Estamos viendo cómo programas de gran repercusión dejan de funcionar o cambian radicalmente: el IBB (uno de los programas más importantes para el software de código abierto) ha suspendido la recepción de propuestas, curl ha eliminado los pagos y Node.js ha suprimido por completo su programa de recompensas. No es ruido, es una señal.
Quería entender hacia dónde se dirige realmente el programa de recompensas por errores, así que me reuní con dos de las voces más autorizadas de los bandos opuestos de este debate:
- Daniel Stenberg, creador de curl, que vive la realidad de los mantenedores y recientemente ha suspendido los pagos del programa de recompensas por errores
- Casey Ellis, fundador de Bugcrowd, una de las personas que ayudó a establecer el modelo.
Lo que descubrí es que el modelo de recompensas por errores se encuentra en una encrucijada y que estamos en medio de un gran cambio.
¿Por qué funcionó tan bien el programa de recompensas por errores?
Antes de entrar en detalle sobre hacia dónde se dirige este modelo, demos un paso atrás para comprender por qué ha sido una de las ideas más eficaces en materia de seguridad durante la última década.
Todo parte de la idea de dejar que Internet intente romper tus sistemas antes de que lo hagan los atacantes. Y funcionó porque proporcionó a las empresas una capacidad que nunca habrían podido conseguir contratando personal.
Como dijo Casey:
««Si intentas burlar a un grupo global de atacantes con alguien que trabaja de 9 a 5, el cálculo no sale bien».
Esa es la magia de los programas de recompensa por errores. En lugar de depender de un puñado de empleados internos, se recurre a una red global de personas con diferentes habilidades, perspectivas y motivaciones, todas ellas atacando tu sistema de formas en las que tu equipo interno simplemente no había pensado. Y todo ello sin los importantes gastos generales que supone contratar a expertos especializados internamente.
Por eso se ha convertido en un elemento fundamental de los programas de seguridad modernos.
Últimas noticias
Lo que está cambiando no es la demanda de seguridad, sino el modelo económico en el que se basa el programa de recompensas por errores.
La IA ha alterado el equilibrio, y no precisamente para bien. Detectar errores es ahora más barato que nunca, redactar informes es aún más fácil y enviarlos se ha convertido, en la práctica, en un proceso sin complicaciones. Mientras tanto, el coste de validar esos informes y solucionar realmente los problemas no ha cambiado en absoluto.
- Detectar errores → económico
- Redacción de informes → más barato
- Envío de informes → prácticamente gratuito
- Validarlas → sigue siendo caro
- Arreglarlos → muy caro
Esto es lo que estamos viendo en la práctica. Existen tres tipos de emisores de informes. Por un lado, están aquellas empresas que utilizan un nuevo enfoque para los informes legítimos. Se trata de informes que emplean enfoques de IA en capas que combinan las ventajas de múltiples modelos de IA, medidas de seguridad, coordinación y contexto, como pentesting de IA propias pentesting de IA de Aikido. Luego están las personas que mejoran su investigación y la redacción de informes utilizando la IA como herramienta. Y, por último, hay personas que son capaces de mejorar sus habilidades gracias a estos modelos de IA, para generar informes que parecen técnicamente plausibles, pero que siguen siendo completamente erróneos.
Daniel lo describió a la perfección: una tontería que parece más convincente es peor que una tontería evidente.
No puedes descartarlo sin más; tienes que investigarlo y pierdes tiempo de verdad demostrando que es una tontería.
A gran escala, esto deja de parecer un modelo de contribución externa útil y empieza a parecerse más bien a un ataque de denegación de servicio contra las personas encargadas de la seguridad.
Y las consecuencias son devastadoras:
- El programa Internet Bug Bounty (IBB) ha suspendido la recepción de nuevas propuestas porque la inteligencia artificial ha incrementado drásticamente el volumen de detectados, hasta un nivel que supera la capacidad de gestión de los responsables del mantenimiento
- Node.js perdió su programa de recompensas cuando se agotó la financiación; siguen llegando informes, pero ya no se pagan recompensas
- Curl eliminó las recompensas económicas tras recibir una avalancha de informes generados por IA
Este es un viejo problema, que se ha agravado
Casey subrayó que no se trata de un problema nuevo, sino de uno antiguo que simplemente se ha agravado enormemente.
«Estamos haciendo tonterías más rápido y con más energía».
Los programas de recompensa por errores siempre han tenido un problema en cuanto a la igualdad de condiciones: una persona envía un informe y otra tiene que validarlo. Sobre el papel, parece equitativo, pero en la práctica siempre ha sido difícil para una sola persona mantenerse al día con la validación, incluso antes de que existiera la IA. Ahora, es prácticamente imposible.
Hoy en día vivimos en un mundo en el que cualquiera puede generar docenas de informes, hacer que parezcan fiables y enviarlos al instante. Sin embargo, por el lado del destinatario, las limitaciones no han cambiado. Siguen siendo personas las que revisan, clasifican y toman las decisiones.
El software libre es el primero en sentir el impacto
El software libre es el ámbito en el que esta presión se hace notar primero, en gran parte porque ya funcionaba al límite de sus capacidades. La mayoría de los proyectos los mantienen equipos reducidos, a menudo formados por voluntarios, con tiempo y recursos limitados, y sin embargo sustentan gran parte de Internet.
Si a eso le sumamos los incentivos económicos, la participación a nivel mundial y, ahora, las propuestas generadas por IA, el sistema se ve desbordado.
El programa IBB lo dijo sin rodeos:
El descubrimiento asistido por IA ha alterado el equilibrio entre los hallazgos y la capacidad de corrección
Traducción:
Estamos encontrando más errores de los que podemos gestionar.
Así que ahora la recompensa ha desaparecido, pero la expectativa de informar sobre los fallos sigue ahí. La pregunta es: ¿sigue siendo viable, sin incentivos económicos, la forma en que se han utilizado los programas de recompensas por fallos para ampliar eficazmente los equipos de seguridad y mejorar el nivel de seguridad?
Casey no está necesariamente de acuerdo:e:
Toda organización debería contar con un programa de divulgación de vulnerabilidades, ya que, si tiene presencia en Internet, es inevitable que se detecten problemas. Sin embargo, no todas las organizaciones están en condiciones de poner en marcha un programa de recompensas público.
Según él, es probable que curl ni siquiera debiera haber tenido uno desde el principio:
«No creo que todas las organizaciones deban [poner en marcha un programa de recompensas]… el programa de Curl no debería haber sido un programa de recompensas desde el principio».
Sin embargo, la experiencia de Daniel revela una realidad más matizada. Daniel considera que el programa de recompensas fue un éxito, ya que incentivó un análisis minucioso del código:
«Siempre lo he considerado un éxito porque es una forma estupenda de animar a la gente a examinar el código...»
¿Qué ocurre cuando se eliminan los incentivos económicos?
Se podría pensar que, al eliminar los incentivos económicos, se acabaría con los errores de la IA, pero también se reduciría la probabilidad de que se revelaran vulnerabilidades reales.
Pero cuando Curl eliminó los incentivos económicos, ocurrió algo interesante. El ruido de baja calidad generado por la IA desapareció en gran medida.
Daniel dijo: «Ya no recibimos informes de seguridad de baja calidad generados por IA… En su lugar, recibimos una cantidad cada vez mayor de informes de seguridad de gran calidad… que se envían con una frecuencia sin precedentes y nos suponen una carga considerable».
En lugar de verse desbordados por informes de baja calidad, los mantenedores se enfrentan ahora a un gran volumen de hallazgos realmente útiles, muchos de los cuales se basan en investigaciones asistidas por IA. La barrera de entrada se ha reducido, no solo para los informes de mala calidad, sino también para los de buena calidad.
Lo cual genera un nuevo tipo de presión.
Incluso los informes de alta calidad requieren tiempo para ser comprendidos, validados y corregidos. Y muchos de estos hallazgos «positivos» siguen situándose en zonas grises: se trata de errores que quizá no alcancen los umbrales de seguridad, pero que aún así requieren atención. El resultado es una carga constante —y, en cierto modo, creciente— para unos equipos que ya cuentan con recursos limitados.
Así que, de una forma un tanto extraña, el sistema no se ha simplificado. Se ha perfeccionado.
Romper el sistema para mejorarlo
Y aquí es donde la cosa se pone interesante. Porque, aunque sin duda es doloroso a corto plazo, en realidad podría ser un paso en la dirección correcta.
Al eliminar los incentivos económicos, eliminamos gran parte del ruido. Lo que queda es una señal que, en promedio, es de mayor calidad, más deliberada y más acorde con los resultados reales en materia de seguridad.
Al mismo tiempo, la inteligencia artificial está reduciendo las barreras que impiden a los investigadores realizar un trabajo significativo. Permite que más personas identifiquen problemas reales con mayor rapidez que nunca. Esa combinación —menos ruido, más señal, pero un volumen que sigue siendo abrumador— sugiere que nos encontramos en una fase de transición.
El modelo actual se está desmoronando bajo la presión. Pero lo que está surgiendo debajo podría ser mejor.
Un sistema en el que:
- Se espera que se revele la información, pero no se incentiva a hacerlo
- las recompensas son más específicas, no generales
- y el enfoque pasa de generar más informes a lograr mejores resultados
Aún no hemos llegado a ese punto. En este momento, nos encontramos en una etapa de transición complicada, en la que el modelo antiguo ya no funciona y el nuevo aún no se ha consolidado del todo.
Pero si todo sale bien, no acabaremos teniendo menos recompensas por errores.
El resultado es una versión más sostenible de .
Los hackers no van a desaparecer
Uno de los mayores errores de concepto en todo esto es la idea de que, si los programas de recompensas por errores atraviesan dificultades, los hackers desaparecen de alguna manera con ellos.
Esto nunca funciona así.
Los hackers no se detienen, sino que se desplazan. Se guían por las oportunidades, la complejidad y las lagunas de conocimiento. Cuando un ámbito se satura, pasan a otro, ya sean las API, las cadenas de suministro o, cada vez más, los sistemas de IA y los fallos de lógica complejos.
Como señaló Casey, aunque resolviéramos los problemas que tenemos hoy en día, los atacantes no se irían sin más. Siempre habrá nuevas tecnologías, nuevos sistemas y nuevos errores que aprovechar.
Mientras los seres humanos sigamos creando software, seguirá habiendo vulnerabilidades.
Lo que significa que la necesidad de que la gente los encuentre no desaparece.
Sin embargo, hunters de recompensas por errores hunters dejando este trabajo, en parte debido a la frustración que les genera tratar con evaluadores agotados y, en parte, porque se les está retirando el incentivo económico. En su lugar, están pasando a desempeñar funciones de consultoría y puestos de investigación interna.
¿Qué pasa después?
Los programas de recompensa por errores no desaparecen, pero sí evolucionan.
Probablemente nos encaminamos hacia un modelo en el que la divulgación de vulnerabilidades se convierta en una expectativa básica en todo el sector, en lugar de ser algo opcional o incentivado. Los programas públicos de recompensas no desaparecerán, pero serán más controlados, más específicos y estarán más en consonancia con la madurez de las organizaciones.
Al mismo tiempo, la inteligencia artificial desempeñará inevitablemente un papel más importante en el filtrado y la clasificación del creciente volumen de denuncias. No resolverá el problema por completo, pero pasará a formar parte de la forma en que lo gestionamos.
También veremos un cambio en lo que realmente se valora. A medida que los sistemas automatizados mejoren en la detección de problemas de bajo nivel, el valor de esos hallazgos disminuirá. En su lugar, los incentivos se orientarán hacia el trabajo de mayor impacto: aquel que requiere creatividad, contexto y una comprensión más profunda de los sistemas.
Esto significa que los investigadores se centrarán cada vez más en ámbitos como la concatenación de vulnerabilidades, el aprovechamiento de la lógica empresarial y la vulnerabilización de tecnologías complejas o emergentes en las que la automatización aún tiene dificultades.
En otras palabras, el listón se está elevando; los investigadores no van a desaparecer, pero las recompensas deben aumentar en la misma medida.
