¿Ecuador debería implementar las recompensas por encontrar errores?
En los últimos diez años, los programas de recompensas por encontrar errores se han vuelto cada vez más comunes en muchos países industrializados. Esta tendencia comenzó en Estados Unidos, pero se ha extendido a otros países. Sin embargo, no estamos viendo la misma expansión en todos los países, incluido Ecuador. Y considerando que últimamente hemos visto una gran cantidad de incidentes de seguridad en Ecuador, vale la pena preguntarse: ¿deberían las empresas ecuatorianas -y el gobierno- considerar el uso de recompensas por encontrar errores para mejorar su seguridad?
Primero, definamos rápidamente qué es realmente un programa de recompensas por encontrar errores. Fundamentalmente, la idea es que una organización/empresa ofrece públicamente pagar por informes sobre errores o vulnerabilidades en su software, infraestructura o servicios digitales. El programa puede ser por tiempo limitado o permanente. Puede requerir inscripción previa o ser completamente abierto. A menudo, diferentes tipos de vulnerabilidades generarán diferentes tipos de compensaciones. Y por supuesto, para que esto funcione, la organización necesita garantizar que la exploración de su software sea legal, de modo que las personas que participen en la búsqueda de errores no corra ningún riesgo de enfrentar consecuencias judiciales.
Todo esto puede sonar un poco extraño: ¿Quieres invitar a personas a violar tu seguridad? Sí, eso es exactamente lo que quieres. Si tienes problemas de seguridad, necesitas encontrarlos. No basta con mantener las cosas ocultas y esperar que nadie se dé cuenta. Sabemos, por experiencia, que en estos casos sólo los malos sabrán qué vulnerabilidades tienes. ¿No sería mejor simplemente encontrarlas y arreglarlas? Por supuesto, las recompensas por encontrar errores no son la única forma de lograr este resultado, pero es una buena manera de mostrarle al público que te tomas en serio la seguridad.
Si aún no estás convencido, vale la pena mencionar que muchas de las empresas más exitosas del mundo están usando las recompensas por encontrar errores. Empresas como Facebook, Google y Microsoft. Tanto el gobierno estadounidense, así como también las autoridades europeas, han participado en el financiamiento de programas de recompensas por encontrar errores.
Entonces, ¿qué se necesita para poder implementar este tipo de programa? Primero, y lo más importante, es necesario tener un proceso para reportar los problemas de seguridad. De hecho, esto es algo que absolutamente toda organización debería tener, sin importar su actividad. El gobierno debería tenerlo y las empresas privadas también. De lo contrario, si alguien se encuentra con un problema, ¿a dónde va a recurrir? Y para que un programa de recompensas por encontrar errores funcione, se necesita encontrar una forma para generar los reportes, combinada con procesos de verificación y compensación.
Una vez que los informes estén implementados, es necesario contar con procedimientos para solucionar los problemas de seguridad. De lo contrario, el programa de recompensas por encontrar errores no será muy útil. Pero para ser funcional, también necesitarás recursos. Este tipo de programas puede generar una gran cantidad de información, lo que significa que deberás contar con suficiente personal para abordar los problemas encontrados. El instinto podría ser esconder los hallazgos debajo de la alfombra, pero por favor no lo hagas. En lugar de ello, invierte en seguridad y haz que el programa de recompensas por encontrar errores sea efectivo.
Por último, es necesario resolver la cuestión de la legalidad. Al momento, no está claro si los programas de recompensas por encontrar errores pueden hacerse de manera legal en el Ecuador realmente. Por supuesto, si la empresa se compromete a no emprender acciones legales y se especifican los límites de lo que es un comportamiento aceptable, que resuelve una parte del problema legal. Pero la Fiscalía del Ecuador tiene la facultad de abrir investigaciones sin el consentimiento de la presunta víctima, lo que significa que incluso un compromiso por parte de la entidad que ofrece la recompensa por encontrar errores, podría no ser suficiente.
Por esta razón, todavía no podemos recomendar programas completos de recompensas por encontrar errores en Ecuador. Creemos que es una técnica poderosa y muchas de las empresas privadas más grandes en Ecuador ciertamente se beneficiarían de este tipo de procedimiento, pues ellos tienen los recursos para hacerlo bien. Sin embargo, hasta que no se resuelva la situación legal, es posible que no se genere mucha participación.
Para las organizaciones estatales y entes gubernamentales, organizar algo que mejore la situación de seguridad también parece bastante urgente. Hemos visto muchas intrusiones a lo largo de los años y ésto sólo va a empeorar. Por otro lado, no está claro que el gobierno realmente tenga las personas o los recursos necesarios para mejorar la seguridad en función de los informes de recompensas por encontrar errores.
Nuestra recomendación actual es que las organizaciones en Ecuador comiencen por asegurarse de tener informes de seguridad, directrices y ponerlas a disposición del público, incluida una forma de informar problemas de forma anónima. Esto debería, al menos facilitar, que los investigadores de seguridad ayuden a estas instituciones.
Al mismo tiempo, el gobierno debería invertir en aclarar la situación legal. Sería fantástico que el Ministerio de Telecomunicaciones llevara a cabo un proyecto piloto de recompensa por encontrar errores para que sirviera de ejemplo al resto de entidades públicas. Pero como mínimo, se deberían implementar mecanismos para contar con informes de seguridad.
En otros posts volveremos al tema de qué puede hacer Ecuador para mejorar la seguridad digital del país. Hay mucho terreno por recorrer.