Se ha revelado el resultado de un programa de recompensa de errores para el Departamento de Seguridad Nacional (DHS), y no es particularmente alentador noticias para una agencia gubernamental sinónimo de seguridad cibernética.
Los participantes del primer programa de recompensa de errores del DHS, llamado «Hack DHS», confirmaron que encontraron un número preocupante de errores de seguridad.
Descubrieron un total de 122 vulnerabilidades de seguridad en sistemas DHS externos, de acuerdo con el registro y la computadora Bleeping. Veintisiete errores fueron reconocidos como fallas de «gravedad crítica».
La iniciativa Hack DHS vio a más de 450 investigadores de seguridad participar en el programa. Por sus esfuerzos, la agencia gubernamental pagó una recompensa total de $ 125,600 que se distribuyó entre los piratas informáticos éticos.
Según lo destacado por el Registro, la cifra de pagos mencionada antes palo en comparación con lo que otras organizaciones pagan a los cazadores de recompensas de errores.
Por ejemplo, Intel ha ofrecido previamente hasta $ 100,000 para descubrir con éxito vulnerabilidades específicas.
Otros gigantes tecnológicos como Microsoft ofrecen 10 de miles de dólares por encontrar fallas, mientras que Apple pagó a un solo individuo casi la totalidad de la recompensa de Hack DHS al darle $ 100,000 por piratear una Mac.
Mientras tanto, Google ha otorgado casi $ 30 millones a personas inscritas en sus propios programas de recompensa de errores. En un caso particular, la compañía le dio a un hacker adolescente autodidacta $ 36,000 por informar un cierto error.
Teniendo en cuenta el hecho de que una de las responsabilidades clave del Departamento de Seguridad Nacional implica la seguridad cibernética, muchos pueden estar preocupados de que se encontraran una cantidad tan alta de errores de seguridad en primer lugar. Además, los niveles de pago algo deslucidos asociados con Hack DHS podrían ser un elemento disuasorio potencial para futuras partes interesadas.
A fin de cuentas, parece que el DHS no es tan seguro como muchos estadounidenses hubieran esperado que fuera.
La búsqueda de la seguridad nacional para volverse más seguros
Hack DHS se introdujo originalmente en diciembre de 2021. Cualquier hacker que se uniera al programa tendría que proporcionar un desglose integral de cualquier vulnerabilidad que encuentren. También tienen que detallar cómo ese defecto puede ser dirigido y explotado por posibles actores de amenaza, así como explicar cómo se puede utilizar específicamente para acceder y extraer datos de los sistemas DHS.
Una vez que estos «expertos en seguridad del DHS» se colocan a través de un proceso de verificación por «expertos en seguridad del DHS», que tarda 48 horas en analizarse después de detectar y enviar un error, generalmente se parcan dentro de los 15 días más o menos. En algunos casos, la agencia gubernamental lleva más de medio mes solucionar los defectos más intrincados.
El programa de recompensa de errores de la agencia gubernamental se llevará a cabo a través de un despliegue escalonado que consta de tres etapas. La primera fase, los pagos, se ha completado, mientras que la próxima segunda etapa verá a los investigadores de seguridad recogidos a mano por el DHS que participa en un evento de piratería en vivo.
En cuanto a la fase final, el registro informa que DHS compartirá información que espera influirá en programas adicionales de recompensa de errores.
La popularidad de los programas de recompensa de errores se está volviendo cada vez más prominente en una era en la que los cibercriminales han estado intensificando sus intentos de infiltrarse en las principales empresas, especialmente en el espacio tecnológico.
Por ejemplo, Intel dio a conocer el interruptor de circuito de proyectos, una expansión a su programa de recompensa de errores que se introdujo para reclutar «hackers de élite». Google también actualizó su programa de recompensas de vulnerabilidad el año pasado lanzando una nueva plataforma de errores.
En otros lugares, Google confirmó recientemente que se identificó un número récord de exploits peligrosos de día cero en 2021, mientras que los delitos cibernéticos están más extendidos que nunca.