¿Deben existir los programas de divulgación de vulnerabilidades (VDP)?
Si y no ...
Antes de responder esta pregunta, es importante entender qué son los programas de divulgación de vulnerabilidades.
Nacen de la idea “see something, say something”.
Los VDPs, por sus siglas en inglés “Vulnerability Disclosure Policies”, son programas establecidos por organizaciones para que investigadores, hackers éticos o cualquier persona interesada pueda reportar vulnerabilidades de seguridad de manera responsable, sin percibir compensación económica.
Pero… tienen muchos problemas, como cuando tienen el mismo alcance en programas de pago y VPDs, el ranking, tiempos de respuesta, pero, sin duda, el principal problema es el siguiente:
Trabajo gratis para empresas que facturan millones.
El principal problema de los programas de divulgación de vulnerabilidades es que empresas que facturan millonadas, se aprovechan del trabajo gratuito de expertos. Sin ir más lejos a día de hoy en Hackerone hay 209 VDPs y en Bugcrowd 187, donde los únicos que ganan dinero son las plataformas y las empresas por recibir bugs de manera gratuita.
Un claro ejemplo de este problema es Red Bull, una empresa que en 2024 facturó 11 227 mil millones de euros y ha recibido un total de 8981 reportes. De ellos, ha aceptado 2191, es decir, han encontrado más de 2.000 vulnerabilidades pagando solo con unas cuantas latas. Como Red Bull, hay un montón de empresas que facturan millones y te pagan con merchandising (SWAG).
Dicho esto, Secur0 tiene y tendrá VDPs.
Debido a que estamos centrados en la formación, creemos firmemente que los VDPs cumplen una función muy valiosa. Por ejemplo, permiten que un profesor de formación profesional o universitario enseñe hacking en empresas reales y no solo en entornos simulados.
Actualmente tenemos cinco programas de VDP con startups de impacto social que no pueden permitirse invertir en ciberseguridad. En estos programas, hay 300 hackers de 36 centros educativos buscando vulnerabilidades en estas startups.
A partir del 15 de mayo, vamos a mejorar nuestros VDPs y solo aceptaremos ONGs y proyectos 100% open source con full disclosure. Nuestro objetivo es que no deis vuestro tiempo gratis a empresas con ánimo de lucro y que podáis divulgar sin restricciones una vez se haya solucionado la vulnerabilidad.
Desde el punto de la plataforma, no incentivaremos los VDPs con puntos y nunca haremos VDPs privados.
Tenemos claro que queremos mejorar los VDP actuales. ¿Echas en falta algo en nuestra propuesta? Te leo por correo.