Programa de recompensas por errores.

Iniciativa formal por la que una organizacion invita a investigadores externos a reportar vulnerabilidades y paga recompensas en funcion del impacto. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

Iniciativa formal por la que una organizacion invita a investigadores externos a reportar vulnerabilidades y paga recompensas en funcion del impacto.

Un programa de bug bounty convierte las pruebas de seguridad colaborativas en un proceso controlado. La organizacion publica el alcance, las reglas, las exclusiones y los tramos de recompensa, y recibe los informes de investigadores independientes a traves de su propia plataforma o de un proveedor de triaje como HackerOne, Bugcrowd o Intigriti. Los hallazgos se validan, reproducen, priorizan y corrigen, con pagos vinculados a la severidad (frecuentemente CVSS). Los programas pueden ser publicos o privados (por invitacion) y complementan, no sustituyen, al equipo de AppSec, las herramientas SAST/DAST y las pruebas de penetracion. Una clausula de safe harbour es esencial para que los investigadores de buena fe no sean perseguidos bajo leyes antihacking.

Las defensas contra Programa de recompensas por errores combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Programa VRP, Programa de recompensas de vulnerabilidades.