Las 5 mejores plataformas de Bug Bounty para ver en 2021

Programas de recompensas por errores

Si bien Gartner aún no tiene un Cuadrante Mágico dedicado para Bug Bounties o Crowd Security Testing, Gartner Peer Insights ya enumera 24 proveedores en la categoría «Servicios de Crowdtesting de aplicaciones».

Hemos compilado las 5 plataformas de recompensas por errores más prometedoras para aquellos de ustedes que buscan mejorar su arsenal de pruebas de software existente con el conocimiento y la experiencia de investigadores de seguridad internacionales:

1. HackerOne

Al ser un unicornio respaldado por numerosos capitalistas de riesgo de buena reputación, HackerOne es probablemente la marca Bug Bounty más conocida y reconocida del mundo.

Según su informe anual más reciente, más de 1700 empresas confían en la plataforma HackerOne para aumentar sus capacidades internas de prueba de seguridad de aplicaciones. El informe también dice que sus investigadores de seguridad ganaron aproximadamente $ 40 millones en recompensas solo en 2019 y $ 82 millones en forma acumulada.

HackerOne también es famoso por albergar programas Bug Bounty del gobierno de EE. UU., incluidos los programas de divulgación de vulnerabilidades del Departamento de Defensa de EE. UU. y del Ejército de EE. UU. Al igual que otros proveedores comerciales de Bug Bounties y Vulnerability Disclosure Programs (VDP), HackerOne ahora también ofrece servicios de pruebas de penetración repletos de investigadores de seguridad examinados de todo el mundo. HackerOne tiene una cartera sólida de certificaciones de seguridad, incluidas la autorización ISO 27001 y FedRAMP.

2. Multitud de insectos

Fundada por el experto en ciberseguridad Casey Ellis, BugCrowd es probablemente la plataforma Bug Bounty más creativa e inventiva. BugCrowd promueve activamente no solo los servicios tradicionales de pruebas de seguridad colectivas, sino también la gestión de la superficie de ataque y un amplio espectro de servicios de pruebas de penetración para IoT, API e incluso redes, manteniéndose por delante de sus competidores en el mercado laboral colectivo en rápido crecimiento.

BugCrowd también anuncia acertadamente numerosas capacidades de integración del ciclo de vida de desarrollo de software (SDLC), lo que hace que el flujo de trabajo de DevSecOps sea más rápido y más fácil para sus clientes adinerados.

BugCrowd es famoso por albergar programas Bug Bounty para gigantes de la industria como Amazon, VISA y eBay, así como la venerada asociación de educación en seguridad cibernética (ISC) ². Muchos principiantes en la investigación de seguridad están bien familiarizados con BugCrowd gracias a la Universidad BugCrowd, los seminarios web de seguridad continuos y la capacitación que BugCrowd organiza de manera inteligente tanto para sus clientes como para sus investigadores.

3. Recompensa por errores abiertos

El vertiginoso proyecto OpenBugBounty es la única plataforma de divulgación de vulnerabilidades y Bug Bounty sin fines de lucro de nuestra lista. Su rango de Alexa dice que OpenBugBounty está a punto de superar con éxito a la mayoría de sus competidores comerciales.

Con más de 1200 programas Bug Bounty activos, OpenBugBounty también permite la divulgación coordinada de problemas de seguridad en cualquier sitio web si el problema se detectó por medios no intrusivos. La creación del programa Bug Bounty es totalmente gratuita, y los propietarios del sitio web no están obligados a realizar pagos monetarios a los investigadores, pero se les recomienda al menos agradecer a los investigadores y brindar una recomendación pública por sus esfuerzos.

OpenBugBounty alberga programas Bug Bounty para empresas como A1 Telekom Austria y Drupal, con más de 20 000 investigadores de seguridad y casi 800 000 vulnerabilidades de seguridad enviadas hasta el momento. La plataforma dice que sus políticas y procesos de divulgación se basan en la norma ISO 29147.

OpenBugBounty también coopera con los CERT nacionales y las agencias de aplicación de la ley proporcionándoles una API gratuita para la plataforma y manteniendo la confidencialidad de los detalles de la vulnerabilidad a menos que un investigador divulgue sus hallazgos al público.

4. SynAck

Con el respaldo de muchos fondos de capital de riesgo de renombre, incluidos Intel Capital y Kleiner Perkins, SynAck fue nombrada compañía «CNBC Disruptor» cuatro veces seguidas, de 2015 a 2019. SynAck se encuentra en la cima de las plataformas comerciales Bug Bounty, también nombradas en las 25 principales empresas emergentes de software empresarial de Gartner .

Fundada por Jay Kaplan y Mark Kuhr, visionarios de la seguridad y veteranos acreditados de las agencias de seguridad nacional de EE. UU., SynAck ofrece un equipo de élite de investigadores de seguridad cibernética minuciosamente examinados conocido como «Equipo rojo» (SRT). Según SynAck, el grupo SRT está compuesto por expertos en seguridad con antecedentes verificados y experiencia creíble en la industria.

SynAck se posiciona con éxito como líder en servicios confiables de pruebas de seguridad de multitudes al realizar una debida diligencia integral en su Equipo Rojo y registrar todas sus actividades para análisis o revisiones futuras. Finalmente, SynAck ha desarrollado con éxito asociaciones y alianzas tecnológicas con los líderes de la industria, incluidos Microsoft, AWS y HPE, lo que demuestra un gran potencial para un mayor crecimiento.

5. YesWeHack

YesWeHack es la estrella en ascenso de nuestra calificación para 2021. YesWeHack, una de las empresas europeas de divulgación de vulnerabilidades y Bug Bounty, atrae de manera eficiente a empresas con sede en la UE cuya principal preocupación es la privacidad estricta y la protección de datos. Recientemente, YesWeHack anunció un crecimiento récord del 250 % durante 2020 en Asia, lo que demuestra que las nuevas empresas europeas son capaces de escalar globalmente.

Al igual que BugCrowd, YesWeHack está bien preparado para invertir en su capital humano. El año pasado, lanzó un programa de capacitación para ayudar a los cazadores de Bug Bounty a perfeccionar sus habilidades de piratería con la plataforma YesWeHack DOJO. Cuenta con cursos introductorios y desafíos de capacitación centrados en vulnerabilidades de seguridad y áreas de juego específicas.

Con DOJO, los investigadores de seguridad de todo el mundo pueden mejorar sus habilidades de prueba de seguridad de software. Finalmente, YesWeHack demuestra de manera persuasiva su capacidad para atraer clientes europeos de renombre como el conglomerado francés OVH.

Si bien este artículo tenía como objetivo enumerar 5 plataformas de recompensas por errores, hay muchas otras plataformas excelentes y únicas en el mercado, incluida Intigriti, una de las principales redes de hackers éticos en Europa.

Bug Bounties ha comenzado su transformación de pruebas de seguridad de multitudes puras a plataformas de ciberseguridad todo en uno, que ofrecen pruebas de penetración clásicas y una gran cantidad de otros servicios. Hoy en día, es difícil predecir qué tan exitosa será su oferta frente a los MSSP tradicionales y los proveedores de ciberseguridad; sin embargo, Bug Bounties sin duda creó un nuevo nicho de mercado con un gran potencial.

Mientras que el proyecto abierto y gratuito OpenBugBounty aporta madurez al negocio, como lo hizo Linux de código abierto contra Microsoft hace décadas, más tarde dio origen a un negocio multimillonario de Red Hat.

Este es un indicador de que el mercado de Bug Bounty se está volviendo más grande y más competitivo, mientras que los recién llegados todavía se están uniendo al juego. Probablemente podamos esperar aún más acuerdos de capital de riesgo y fusiones y adquisiciones que fomenten una mayor expansión del mercado de seguridad colectiva.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática