Programa de recompensas por errores
¿Qué es Programa de recompensas por errores?
Programa de recompensas por erroresIniciativa formal por la que una organizacion invita a investigadores externos a reportar vulnerabilidades y paga recompensas en funcion del impacto.
Un programa de bug bounty convierte las pruebas de seguridad colaborativas en un proceso controlado. La organizacion publica el alcance, las reglas, las exclusiones y los tramos de recompensa, y recibe los informes de investigadores independientes a traves de su propia plataforma o de un proveedor de triaje como HackerOne, Bugcrowd o Intigriti. Los hallazgos se validan, reproducen, priorizan y corrigen, con pagos vinculados a la severidad (frecuentemente CVSS). Los programas pueden ser publicos o privados (por invitacion) y complementan, no sustituyen, al equipo de AppSec, las herramientas SAST/DAST y las pruebas de penetracion. Una clausula de safe harbour es esencial para que los investigadores de buena fe no sean perseguidos bajo leyes antihacking.
● Ejemplos
- 01
Google Vulnerability Reward Program, Microsoft Bug Bounty, Apple Security Bounty.
- 02
Un proveedor SaaS opera un programa privado por invitacion en HackerOne con pagos de 500 USD a 50 000 USD.
● Preguntas frecuentes
¿Qué es Programa de recompensas por errores?
Iniciativa formal por la que una organizacion invita a investigadores externos a reportar vulnerabilidades y paga recompensas en funcion del impacto. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Programa de recompensas por errores?
Iniciativa formal por la que una organizacion invita a investigadores externos a reportar vulnerabilidades y paga recompensas en funcion del impacto.
¿Cómo defenderse de Programa de recompensas por errores?
Las defensas contra Programa de recompensas por errores combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Programa de recompensas por errores?
Nombres alternativos comunes: Programa VRP, Programa de recompensas de vulnerabilidades.