El boom del bug bounty
¿Cuál es el futuro del bug bounty?
“El tamaño del mercado mundial de plataformas Bug Bounty es de 1 520 millones de USD en 2024 y se espera que alcance los 4 950 millones de USD en 2032, creciendo a una tasa de crecimiento anual compuesta (CAGR) de alrededor del 15,94%” (Business Research Insights, 2024).
Business Research Insights atribuye su predicción a que las organizaciones necesitan “probar regularmente su infraestructura informática”, dada la “constante evolución de su infrastructura” y el hecho de que “un hacker podría destruir la reputación de una empresa en minutos”.
Nosotros desde Secur0, pensamos que el mercado crecerá por las siguientes tres razones:
1. Aumento del número de ciberataques
Como todos sabemos, los ciberataques no paran de crecer desde hace años y 2024 no nos ha dejado indiferentes.
Se prevé que el coste mundial de la ciberdelincuencia alcance los 10,29 billones de dólares anuales en 2025. Si se midiera como un país, la ciberdelincuencia sería la tercera mayor economía del mundo después de Estados Unidos y China.
El coste medio mundial de una filtración de datos en 2024 fue de 4,88 millones de dólares, un 10 % más que el año pasado y el total más alto de la historia.
El pago medio por un ransomware en 2024 es de 2,73 millones de dólares, casi un aumento de un millón de dólares con respecto a 2023.
Podría seguir llenando este artículo con cifras alarmantes, pero creo que todos entendemos la magnitud del problema.
2. Aumento de las superficies de ataque
Es una realidad que las empresas cada vez tienen más superficie de ataque y las dos principales razones son las siguientes:
La transformación digital de las empresas avanza rápidamente, como lo demuestra el Plan Financiero Multianual de la Unión Europea 2021-2027, que destina 7 600 millones de euros para impulsar la transformación digital de la sociedad, la economía y las administraciones públicas de sus Estados miembros.
El trabajo remoto no deja de crecer, según un estudio de Statista el 28% de los empleados trabaja de manera remota o híbrida, alcanzando el 67% en las empresas tecnológicas.
3. Aumento de las obligaciones de cumplimiento
Los organismos reguladores, como NIST, ENISA y CISA, abogan por una política de divulgación de vulnerabilidades obligatoria y recomiendan programas de bug bounty, conforme a las normas ISO 29147 e ISO 30111. Algunos ejemplos son:
La CRA exige que se apliquen políticas coordinadas de divulgación de vulnerabilidades (políticas CVD o VDP) para facilitar la notificación externa de vulnerabilidades.
La norma PCI-DSS 4.0 / 6.3.1 recomienda los programas de bug bounty como una posible solución para evaluar las vulnerabilidades del software desarrollado internamente.
Tendencias del bug bounty
La queridísima inteligencia artifical sigue ganando terreno, no solo en el proceso de búsqueda de vulnerabilidades, sino también en la creación de programas de bug bounty. Huntr, es la primera plataforma de bug bounty 100% enfocada en AI/ML, actualmente cuenta con más de 240 programas de pago.
Por otro lado, el Hardware Hacking ha mostrado un crecimiento notable. Según el informe de 2024 de BugCrowd, el 81% de los hackers de hardware se encontraron con una nueva vulnerabilidad que nunca antes habían visto en los últimos 12 meses. Además, el 64% de ellos considera que actualmente existen más vulnerabilidades en hardware que hace un año.
Huntr
Y tú, ¿cómo ves el futuro del bug bounty? Te leo por correo