Últimamente las recompensas por las vulnerabilidades encontradas han aumentado significativamente. Ahora es una nueva área de ganar dinero.

Puede que no ganes un millón de dólares, pero los piratas informáticos ganan mucho dinero informando sobre las vulnerabilidades.

¿Puede enriquecerse informando de errores en el software? Para algunos, la búsqueda de vulnerabilidades en sitios web y aplicaciones es una tarea parecida resolver un crucigrama. Para otros es la principal fuente de ingresos .

Pagar a los hackers para encontrar fallas en el software o los servicios es una práctica cada vez más común. Estos programas de recompensas recompensas por vulnerabilidades permiten a los piratas informáticos cobrar por encontrar problemas. De esta forma las organizaciones se benefician de la oportunidad de mejorar su seguridad pagando por cada error.

HackerOne, que ejecuta programas similares de recompensas por errores para organizaciones como el Departamento de Defensa de EE. UU. y Google, ha publicado nuevos datos sobre la cantidad de vulnerabilidades descubiertas por los piratas informáticos que se suscribieron a sus proyectos y cuánto se les pagó. Hasta la fecha, se han reportado más de 181,000 vulnerabilidades y los especialistas han recibido más de $ 100 millones .

La compañía dijo que durante el año pasado, los hackers de todo el mundo recibieron más de $ 44,75 millones en recompensas. Es en 86% más que el año pasado. La gran mayoría son otorgados por organizaciones de Estados Unidos.

Algunos errores pueden traer recompensas decentes: HackerOne informó que la recompensa promedio por vulnerabilidades críticas ha aumentado a $ 3,650, un ocho por ciento más que el año pasado, mientras que el monto promedio pagado por una vulnerabilidad es de $ 979. Las vulnerabilidades críticas representan aproximadamente el 8% de todos los informes. De hecho, los informes de alta gravedad representan el 21%.

HackerOne dijo que “la piratería sigue siendo una fuente de ingresos constante y estable”. Casi nueve de cada diez personas tienen menos de 35 años, y una de cada cinco dijo que la piratería es su única fuente de ingresos.

Recompensas por las vulnerabilidades

Nueve hackers individuales han acumulado $ 1 millón en ingresos a través de HackerOne en menos de diez años. El hecho demuestra que la búsqueda de errores puede dar buenos resultados. Más de 200 piratas informáticos ganaron más de $ 100.000 y 9.000 ganaron “al menos algo”. La mitad de los especialistas que descubrieron al menos una vulnerabilidad ganaron $ 1,000 o más.

Pero incluso si muchos no ganan buen dinero cazando insectos, las habilidades que aprenden pueden ser beneficiosas para sus carreras. Cuatro de cada cinco dijeron que usarían las habilidades y la experiencia obtenidas durante el pentest para encontrar trabajo.

El brote global de coronavirus parece haber provocado un aumento en los ataques a las organizaciones. También ha provocado un aumento en la cantidad de piratas informáticos que buscan ayudar a encontrar y corregir fallas de seguridad. HackerOne informó que los nuevos registros de especialistas aumentaron un 59% en los meses posteriores al inicio de la pandemia y los informes de errores aumentaron un 28%. Tal vez porque muchas personas se vieron obligadas a quedarse en casa, lo que les dio más tiempo para encontrar nuevas vulnerabilidades.

Pero encontrar errores por dinero puede ser más difícil. A medida que las organizaciones parchean más vulnerabilidades, la recompensa promedio aumenta, lo que es bueno para los cazadores. Sin embargo, las vulnerabilidades restantes también se vuelven más difíciles de identificar, lo que requiere habilidades y esfuerzo adicionales para descubrirlos.