Hace unos días la Universidad Rey Juan Carlos anunció que contará a partir de ahora con un programa "Bug Bounty", convirtiéndose así en la primera universidad española con una iniciativa en tal sentido y la cuarta del mundo tras la Universidad de Stanford, la Universidad de Drexel y el Instituto de Tecnología de Massachusetts.

Pero, ¿qué es un Bug Bounty Program? Un Bug Bounty Program es sencillamente un protocolo o acuerdo de recompensas para quien identifique y notifique errores. Suelen utilizarse -cada día más- en el campo de la informática, desarrollo de software e incluso en el mundo de las criptomonedas.

Su crecimiento ha sido exponencial y actualmente la gran mayoría de grandes empresas tecnológicas disponen de estos programas. El objetivo es que quien encuentre un error o vulnerabilidad en el código lo notifique por un cauce seguro, y a cambio reciba una recompensa en lugar de venderlo al mejor postor.

Es decir, mejor corsario que pirata.

¿Y para qué sirven? ¿sólo para ser el primero en una lista o tienen alguna utilidad real?

Sirven y pueden ser muy útiles, pero no por ello una institución necesita uno.

Estos programas están basados en la filosofía de trabajo crowdsourcing, que consiste en una externalización abierta de tareas o funciones que antes realizaban empleados, dejándolas en manos de un grupo de personas o de una comunidad (la hacker en nuestro caso. La idea es que un grupo heterogéneo encontrará más y mejores soluciones, premiando únicamente a los más aptos.

De esta forma, está claro que es una fuente para obtener información sobre errores y vulnerabilidades valiosísima e incluso disminuye el riesgo a un ciberataque, tanto por la comunicación de los errores como por las recompensas. Sirva de ejemplo que hasta el Pentágono tiene su propio programa de Bug Bounty.

Ahora bien, debemos tener en cuenta que no siempre necesitamos exponernos a este tipo de "auditoría de seguridad" y que en caso de intentarlo debemos tomar ciertas cautelas para asegurarnos que resulta útil y legal para nuestra organización, tanto para nosotros como "los aspirantes a ser recompensados". Así, vamos a dar unas breves pinceladas por si alguien quiere intentarlo o ser la quinta universidad en la lista.

En primer lugar, debe definirse el presupuesto con el que se cuenta y en su caso limitar el número de recompensas o premios.

En segundo lugar, debemos establecer categorías de errores según lo que puedan afectar a nuestro sistema e indicar si todos tienen derecho a recompensa o solo algunos.

Si no establecemos esas primeras pautas, puede que a las pocas horas tengamos que cerrar el programa por incapacidad de gestionar y pagar todos los informes que lleguen.

Esto nos lleva al tercer punto: debemos tener un equipo con capacidad para evaluar las notificaciones que nos lleguen y para corregir los errores. Sin ello, de poco nos servirá.

En cuarto lugar, es requisito necesario establecer un canal seguro de comunicación, desde la verificación de las incidencias, la eliminación de informes duplicados, la confidencialidad de las comunicaciones o la tramitación de la recompensa. Para ello hay varias plataformas que pueden ayudar, requiriendo cierta comisión por la gestión, pero que pueden ser buena opción si queremos ahorrarnos parte del trabajo.

Finalmente, creo que es imprescindible que ambas partes sean honestas. Desgraciadamente muchos de estos programas han fracasado porque alguien no ha cumplido su parte del trato.

Así, hay que creer que estos programas mejoran y mejorarán la seguridad general de la red, pero es necesario que si se detectan vulnerabilidades no se haga un uso inapropiado de ellas y que si se prometen recompensas se paguen.