¿Cómo surge la idea de Bug Bounty, y cuál es su objetivo?
YesWeHack, es la primera plataforma de Bug Bounty en Europa, estamos extendiéndonos internacionalmente con despachos en Singapur y Suiza. Hacemos Bug Bounty privado pero también público; tenemos 8000 hackers que están escritos en la plataforma y son de varios países, tenemos 120 países en la plataforma, en principio tenemos en la plataforma todos los programas que se pueden publicar, ayudamos a las empresas a hacer los programas en las empresas privadas y los ayudamos a escoger personal, con una serie de recompensas fijadas con el consejo de YesWeHack.
Ahora, trabajamos con instituciones que son muy diferentes, como el Spotify francés, o como el Ministerio de Defensa en Francia.
¿Es cierto que Bug Bounty permite a todas las empresas que quieran poder registrarse para encontrar vulnerabilidades?
Todas las empresas pueden acceder a nuestro programa, desde la plataforma en Europa sería YesWeHack, pero existe Hacker One en EEUU; luego existe la otra opción que es organizar tu propio Bug Bounty, que exige una mayor organización interna pero la tienen empresas como Facebook o Apple. Requisitos no hay, hay unas recompensas de manera económica, es ventajoso ya que solo se paga si encontramos vulnerabilidades abiertas, en cambio otras empresas como de Pentest piden el pago por días de trabajo. El único riesgo, es gastar demasiados en vulnerabilidades, para ello podemos controlarlo en la plataforma, porque no hay requisitos técnicos para hacer Bug Bounty, si es cierto, que no se puede uno público por la confidencialidad de la empresa y para ello se puede hacer privado; existen más requisitos de organización, y no tantos problemas técnicos.
¿La propia definición de empresa, ya decanta hacia un Bug Bounty privado o público?
Claro, ya que es mucho más difícil para una empresa privada hacer un Bug Bounty público, en algunos casos, como mucho la aplicación web se podría hacer, pero es más complicado. Instituciones como bancos o gubernamentales, en nuestro caso Ministerio de Defensa es más complicado uno público. No es excluyente, todas las empresas pueden hacer el Bug Bounty que quieran, pero a efectos prácticos la definición de la empresa te decanta por uno u otro.
A ser posibles, ¿Qué empresas han hecho un Bug Bounty público y uno privado?
Las empresas, que han hecho público lo encontramos en la plataforma de Yes We Hack, se conoce por ejemplo Dailymotion al que hacemos Bug Bounty nosotros, empezaron a hacerlo cuando tuvieron el ataque cibercriminal que les robo los datos, al no encontrar la vulnerabilidad, al final con nosotros es tres días encontraron la vulnerabilidad que ellos en tres semanas no encontraban. Hay otras empresas, como BlaBlaCar, y también tenemos programas privados, pero sobre ellos no podemos decir nada y nuestros hackers que trabajan en estos programas privados, no pueden hablar de estos programas, para bancos e instituciones supone un problema las vulnerabilidades y que la sociedad sepa que existen.
La excepción, es el Ministerio de Defensa el cual participa en el Forum Internacional de Ciberseguridad, este año y hace parte de la estrategia de innovación de las Fuerzas Armadas; pero en general, no podemos hablar de ellos, solamente decir el sector, y los bancos son las principales instituciones que hacen programas privados; transportes, grupos de consumición.
Nos llama la atención, como organización, la colaboración con el Ministerio de Defensa ¿Os han llamado, algún otro gobierno, para trabajar con vosotros?
Con el Ministerio de Defensa, empezamos a trabajar este año, estamos hablando con otros ministerios de otros países europeos, pero no podemos decir nada. Por ejemplo, la Unión Europea busco una empresa de Bug Bounty para vulnerabilidades, y cogieron a los estadounidenses, lo que es un poco raro y ocasione muchos interrogantes, desde un punto de vista de seguridad es extraño.
Es extraño, que la Unión Europea, teniendo una empresa próxima que se dedica a lo mismo, escoja a la estadounidense
Hay, muchos artículos que ya hablan de esto. Nosotros esperamos, que la próxima vez no se tenga esta opción, ya que la opinión de las organizaciones dedicadas al sector no fueron positivas, si se tiene más conciencia sobre este asunto de vulnerabilidades se vuelve una cuestión política y por lo tanto las decisiones no se toman igual.
¿Piensas que son las Elecciones al Parlamento Europeo que han tenido lugar, va a cambiar la situación?
Creo que estas decisiones, van más allá y no se cambian cada cinco años. Pienso, que no va a cambiar nada, ya que al final son estas instituciones las que pactan la opinión pública, y se hacen artículos según lo que se ha pactado. No quiero ser depresiva, pero pienso que es importante la sensibilización en la ciberseguridad, y es algo que tenemos que lograr.
Refiriéndonos a España, ¿Cómo pensáis implantar el Bug Bounty, cuando aún es poco conocido?
Pensamos, que se necesita sensibilización ya que es la llave de muchas cosas. Mi sentimiento, cuando estaba en Mundo Hacker, es que muy pocas personas conocen Bug Bounty, aunque haya bancos que lo hayan realizado ya, por que se centran demasiado en el pentest. La primera etapa, es más como una evangelización sobre qué es el Bug Bounty al personal profesional de la ciberseguridad; ya que tienen que ver las ventajas, antes de hacer contratos y colaboraciones, se necesita hablar de Bug Bounty en España, lo que más fácil lo puede poner es que una institución pública en España hiciera un programa de Bug Bounty, ya que eso da una señal de que es seguro y es eficaz; en Francia esto fue una señal muy fuerte y disolvió todas las dudas sobre la seguridad y la rentabilidad. Ya que las PYMES, si hacen un programa de Bug Bounty es por que ven una rentabilidad en la inversión.
Hoy día, ya hablamos con empresas españolas para hacer Bug Bounty privado, aunque todavía no podemos anunciar nada. De momento, nos vamos a centrar en la evangelización en los medios de comunicación. Estamos elaborando artículos para el INCIBE, los cuales ayudan a la concientización en el Bug Bounty, y son una punta de lanza para la innovación en este sector.
Otro link que tenemos con España, es el proyecto SPARTA, en el marco de este proyecto estamos en contacto con INDRA, ya que ellos son unos de los 44 miembros de SPARTA. En Mundo Hackers, hicimos un workshop con ellos, y tenemos intercambio de información en el marco de SPARTA. Son unas prácticas de ciberseguridad en el ámbito europeo.
Es cierto, que en España no se conoce el Bug Bounty, en Francia se conoce más pero es porque nuestra empresa es la primera empresa del sector en Europa, y es francesa. Al no existir en España, es nuestra responsabilidad hablar de esto, pero me parece que en España tenemos un ambiente en la ciberseguridad abierto a la innovación, que en otros países europeos no hemos sentido esto. Por ello, el Bug Bounty tiene un futuro en España; además, en latinoamérica miran mucho lo que se hace desde España debido que todos son hispanohablantes, es muy estratégico que España se convierta al Bug Bounty para que latinoamérica se influya de ello y que son se hagan los americanos con este mercado, ya que tienen mucha influencia comercial de los americanos.
¿Los hackers han llegado a robar los correos del Comité Nacional Demócrata, favoreciendo a Donald Trump, cómo valora la lucha cibernética entre los países para perjudicar al enemigo? ¿Desde su experiencia, los países europeos invierten en seguridad para defenderse de los hackers o todavía es un sector que no se toma en cuenta?
Pienso, que todo el mundo sabe que la ciberguerra comenzó porque Snowden de Wikileaks o Anonymous. Sobre el hackeo de los correos de EE UU, tenemos un ejército de cibercriminales al igual que en su momento fue un avance la creación de un ejército del aire. Hay mucha colaboración, con el proyecto de SPARTA, o en el marco de la OTAN el Centro de Cooperación en Tallin que publica muchas cosas sobre doctrina militar de la ciberdefensa. Lo que pienso, que no ocurrió y si puede depender de las próximas elecciones europeas, es el ejército europeo de la ciberseguridad, y en ese momento cambiaran las cosas ya que los países europeos son desiguales en este tema; en Francia el Ministerio de Defensa si lo propicia, pero en otros países no, en Francia tenemos ANSSI que es como INCIBE en España, pero en otros países europeos no existe o está orientado hacia el sector militar.
No digo, que los EE UU están en contra de nosotros, todos estamos en la OTAN. Pero uno de los asuntos más importantes en democracia, es la inteligencia económica y tener más información sobre otras empresas y en esto es más complicado tener aliados. Es más difícil, ver los aliados en el tema de la inteligencia económica, entre países europeos en difícil tener aliados en este tema en particular.
Se habla mucho sobre el Bug Bounty en Europa y su concientización. Pero vosotros, tenéis sede en otros continentes.
En Singapur, tenemos una gran evolución tecnológica y el gobierno está concienciado en este asunto y las empresas también, por ello es interesante estar allá para el tema de la ciberseguridad.
Suiza, se preocupa mucho de la privacidad de los datos y de no dar nunca información privada, por lo que es para nosotros muy interesante estar ahí.
Pienso, que nunca vamos a abrir despachos en EE UU, ya existen dos plataformas allí. Asia o Latinoamérica, estamos viendo posibilidades para el futuro, cuando ellos se interesen por el Bug Bounty.
Hay solo tres plataformas en el mundo, que tienen más de 5000 hackers inscritos, la única plataforma que propone hacer esto respetando los datos es YesWeHack, es importantes que las empresas sepan que las dos plataformas estadounidenses no cumplen este requisito, y se quedan con los datos allá por que las leyes estadounidenses son claras sobre esto y sobre un asunto de inteligencia económica, pueden consultarlo cuando ellos quieran y saber todo sobre tu empresa. Nosotros, tenemos todo cifrado con una llave de desciframiento única que solo el cliente final tiene, con lo que no vemos los informes de vulnerabilidad.
Vemos que sobre el Bug Bounty, la competencia es mucho mayor que en otros sectores. Entre europeos y americanos, y la poca fiabilidad de estos últimos después de tantos escenarios de poca seguridad
Otra cosa importante, es sobre los hackers, los estudiantes que lo deseen en nuestra plataforma pueden inscribirse y hackear, es un ejercicio y si llega a hackear algo puede ganar dinero y publicar este hacking, pudiendo hablar con las empresas o el cliente final. Para ser un hacker ético, se necesita ejercicio y con los programas europeos es posible, y se puede reconocer y da una educación.
El Bug Bounty es un programa para atraer a los hackers y quedarse en Europa, que no se vayan a EE UU, tenemos que quedarnos atractivos como países para los hackers éticos, es como, un tesoro que un país tiene que cuidar.
Desde España, sí que tenemos una conciencia europea y confiamos más que en los americanos, los cuales no lo vemos fiables en el sector de la ciberseguridad
Eso no pasa, en todos los países europeos yo trabajé en la Embajada de Francia en España, sabía que las relaciones entre nuestros países.España era el país con el que Francia, hace más comercio.
Todo el mundo que encontré en Mundo Hacker me transmitió este mensaje de felicidad de ser una empresa europea, trabaje en este sector en España, tenemos una fraternidad europea.
