Bug Bounty es un sistema de crowdsourcing diseñado para recompensar la divulgación responsable de vulnerabilidades de software. El sistema permite a individuos, organizaciones y empresas recompensar intencionalmente a investigadores y expertos en seguridad por encontrar e informar inseguridades en su software, a menudo a través de un programa de recompensas en línea. Es un recurso de seguridad cada vez más popular, especialmente para los productores de software.
En los programas tradicionales de recompensas por errores, un profesional de la seguridad o un aficionado buscará activamente vulnerabilidades de seguridad, a menudo con la ayuda de escáneres web automatizados y análisis de código fuente. Una vez descubierto, normalmente se pondrán en contacto con el proveedor para archivar una recompensa mutuamente aceptada. Estas recompensas pueden variar desde unos pocos créditos hasta recompensas más grandes, y algunas empresas ofrecen recompensas de decenas de miles de dólares.
Además, los desarrolladores y proveedores de software suelen utilizar los servicios de recompensa por errores como una alternativa a las costosas pruebas de penetración. En comparación con los métodos tradicionales de prueba de penetración, los programas de recompensas por errores brindan ahorros de costos para los productores de software y, al mismo tiempo, garantizan que las vulnerabilidades potenciales se identifiquen y aborden de manera oportuna.
Con su creciente popularidad, los programas de recompensas por errores también están ganando terreno en el sector gubernamental y corporativo. Al utilizar a la multitud, los programas de recompensas por errores aumentan el alcance potencial de sus pruebas de seguridad, con la creencia de que cuanto más amplia sea la red de posibles reporteros, más vulnerabilidades se podrán descubrir.
En general, los programas de recompensas por errores están diseñados para motivar y capacitar al público para mejorar la seguridad del software y hardware en Internet. Al ofrecer recompensas por la divulgación responsable, los programas de recompensas por errores alientan a los informantes de vulnerabilidades de todos los niveles a ayudar a protegerse contra amenazas que de otro modo podrían pasar desapercibidas.
