¿Quieres despertar el hacker que llevas dentro?
La colaboración es muy eficaz para contrarrestar los fallos de seguridad en las infraestructuras y redes de datos. El proveedor de cloud europeo OVH lo sabe y aprovecha ese conocimiento a través de la plataforma Bounty Factory con recompensas que pueden llegar a los 10.000 euros.
Es sabido que hay un lado oscuro más allá del lado amable de Internet y todo lo bueno que nos trae la Red de redes. Guarida de ciberforagidos de toda calaña, tanto a la caza al vuelo del incauto como al ataque sistemático de acoso y derribo, no basta a menudo las más elementales medidas de profilaxis ni las más avanzadas ingenierías de seguridad perimetral. Ni hackers éticos, ni hombres de sombrero blanco, ni hackatones de entusiastas son suficientes para un blindaje 100% efectivo de cualquier red o infraestructura.
Y si se pagan rescates nunca declarados por secuestros de información o restituir servicios caídos de manera oculta, tampoco es delito hacerlo intentando prevenirlo de manera transparente y abierta. La inteligencia colectiva también funciona. Es una práctica ya habitual en empresas como Microsoft, Google, Mozila, Facebook, Adobe, Paypal, VMware o Apple que incluso auspician eventos como el PwnFest, al igual que bancos como BBVA u operadoras como Telefónica, y también se ha extendido ya a otras industrias; así, fabricantes de vehículos como Fiat Chrysler, General Motors, Tesla y la aerolínea United Airlines tienen sus respectivos programas de pagos a expertos informáticos para detectar posibles vulnerabilidades en sus productos y partes digitales.
OVH no iba a ser menos, y desde la Nuit du Hack celebrada en París en julio de 2016 se ha institucionalizado un programa de ‘Bug Bounty’ que tiene por objetivo el reforzar la seguridad de sus sistemas, a la vez que anima a cualquiera que “deportivamente” intente encontrar algun fallo o brecha por donde colarse. El programa de detección de bugs de seguridad en las infraestructuras de OVH está disponible desde entonces en la plataforma Bounty Factory y ha permitido institucionalizar y normalizar el procedimiento para informar públicamente de las vulnerabilidades y documentar su reparación.
El objetivo: mejorar constantemente la seguridad de los servicios ofrecidos por el líder europeo del Cloud Computing. Para ello se permite que cualquier persona interesada en seguridad informática pueda reportar un fallo de seguridad en el perímetro de la API y dentro del área de cliente. Hallado y registrado uno, los equipos de seguridad de OVH lo estudian de manera inmediata y, si hace falta, parchean los posibles bugs. Y la persona o grupo que detecta el error recibe una suculenta recompensa, que puede ascender hasta los 10.000 euros. En la mayoría de los casos, se pagará en dinero o devolución de cuotas (mínimo 50 euros), como prefiera el interesado, pero también se prevé otro tipo de gratificaciones en forma de regalos o vales para aquellas vulnerabilidades que se localicen fuera del perímetro de OVH.
Seguridad y privacidad, en el ADN de OVH
Creado hace ya 18 años, el grupo OVH siempre ha otorgado un lugar prioritario a la seguridad. Para Vincent Malguy, del equipo SOC (Security Operation Center) involucrado en el proyecto, “el lanzamiento de Bug Bounty es el resultado de muchos años de reflexión. La plataforma Bounty Factory ha permitido materializar un proyecto ideado por Octave Klaba hace tiempo para poder tener una lista de vulnerabilidades dentro del territorio comunitario”. Y es que hasta ahora, todas las plataformas de bug-bounty existentes eran norteamericanas, y hubiera sido un enorme contrasentido además de inviable que una empresa comprometida con la soberanía de sus datos como es OVH tuviera que almacenar su lista de vulnerabilidades fuera de sus máquinas. Es por eso que la plataforma que permite a OVH implementar este programa está alojada a nivel interno en la solución Dedicated Cloud, una infraestructura que cuenta desde hace años con la certificación ISO 27001, de máxima seguridad.
La plataforma está abierta a todo el mundo: cualquier persona especializada en seguridad informática o simplemente interesada en seguridad puede participar. Solo hace falta crearse una cuenta en OVH e indicar si ha descubierto algún fallo. La rápida reacción de OVH es obviamente una de las claves del éxito del programa, así como el desarrollo de parches y subsanación de bugs. “OVH se ha impuesto una regla muy sencilla: si el error notificado requiere un parche, la persona que lo ha identificado recibe una recompensa. Esta regla nos permite ser totalmente transparentes con la comunidad de white hats, sin los que este tipo de programas no tendría ningún sentido. Aparte de una comunicación mucho más fluida, la plataforma Bounty Factory hace posible un tratamiento de los fallos de seguridad más regulado y totalmente transparente”, señala Malguy.