Fundada hace más de una década, HackerOne es una plataforma de recompensas por errores que conecta a las organizaciones con una comunidad de hackers éticos que identifican e informan vulnerabilidades y debilidades en el software a cambio de una recompensa.
Básicamente, es una plataforma de coordinación de divulgación y alojamiento de recompensas por errores que permite a las empresas gestionar informes y resolver problemas identificados con prontitud, al tiempo que garantiza pagos a los investigadores.
La empresa acaba de publicar su Informe de seguridad Hacker-Power 2023, compartiendo información sobre las tendencias de este año. En el informe menciona que sus programas han otorgado más de 300 millones de dólares en recompensas a hackers éticos e investigadores de vulnerabilidades desde el inicio de la plataforma.
Treinta investigadores han ganado más de un millón de dólares por sus envíos, y uno ha batido el récord, recibiendo más de 4 millones de dólares por sus informes de errores.
Este año, las organizaciones tardaron un promedio de 25,5 días en finalizar la corrección de los errores reportados, una mejora del 28% con respecto al año pasado.
¿Cuánto por un error?
La compañía destacó que las entidades criptográficas y blockchain continúan disfrutando de la mayor atención por parte de los investigadores, impulsados por la promesa de los pagos más altos. Este año, la mayor recompensa pagada fue de 100.050 dólares de una empresa de cifrado.
El precio medio de un error en la plataforma es de 500 dólares y alcanza los 3.000 dólares en el percentil 90 (el 10% más alto). Para fallas críticas y de alta gravedad, el pago promedio es de U$S 3.700 en todas las industrias y llega hasta U$S 12-000 en el percentil 90.
HackerOne dice que la búsqueda de errores tradicional no es la única actividad en la plataforma, ya que los compromisos con las pruebas de penetración aumentaron un 54% este año.
Más de la mitad de los hackers éticos que participan en los programas HackerOne informan que utilizan IA generativa de alguna manera, incluida la redacción de mejores informes, la redacción de códigos y la reducción de las barreras del idioma.
El 61% de ellos informa que planea utilizar IA generativa para encontrar más vulnerabilidades, y el 55% informa que espera que las propias herramientas de IA se conviertan en un objetivo importante en los próximos años.
Los cazarrecompensas están divididos a la hora de predecir si la IA conducirá a productos de software más seguros o a un aumento de las vulnerabilidades.
Otras opiniones registradas en el informe incluyen motivación y factores desalentadores, donde las recompensas desempeñan el papel más importante (73%) en la participación, seguidas de una gran cantidad de fallas (50%), oportunidades de aprender (45%), alcance variado (46%) y pagos rápidos (42%).
Por otro lado, los factores que alejan a los investigadores de un programa incluyen tiempos de respuesta lentos (60%), alcance limitado (58%), comunicación deficiente (55%), recompensas bajas (48%) y críticas negativas (44%).
Para aquellos interesados en participar en el programa de recompensas por errores de HackerOne, pueden explorar el directorio de empresas para saber qué posibilidades hay para encontrar errores.
Fuente: BC