Descubra cómo el programa de recompensas por errores de inDrive fortalece la ciberseguridad al colaborar con piratas informáticos de sombrero blanco para detectar vulnerabilidades y optimizar los procesos de seguridad.

Introducción

En un mundo en el que la tecnología digital se infiltra en todos los aspectos de nuestras vidas, la ciberseguridad es de suma importancia. Las empresas de todo el mundo están invirtiendo mucho en proteger sus datos y sistemas de las amenazas cibernéticas. Uno de los métodos más eficaces para reforzar la seguridad es trabajar con expertos en seguridad independientes, también conocidos como “piratas informáticos de sombrero blanco”.

Este artículo será útil para las empresas que estén pensando en lanzar un programa de recompensas por detección de errores o que ya lo hayan hecho. Compartiremos nuestra experiencia en la organización y desarrollo del programa de recompensas por detección de errores en inDrive y cómo ha ayudado a fortalecer nuestra ciberseguridad.

También nos gustaría señalar que no debe limitarse al programa de recompensas por detección de errores, ya que no es una panacea para resolver todos los problemas de seguridad. El programa de recompensas por detección de errores puede ayudarle a identificar algunas vulnerabilidades, pero no cubre toda la gama de posibles amenazas. Debe adoptar un enfoque integral de la seguridad que incluya el uso de diversas herramientas y técnicas de seguridad.

Como muestra el gráfico a continuación, diferentes herramientas detectan diferentes cantidades de vulnerabilidades, lo que enfatiza la importancia de combinar métodos como escáneres automatizados, análisis de código estático y dinámico, auditorías de seguridad y capacitación de los empleados.

Comienzo

Al principio, nuestro programa de recompensas por errores funcionaba en modo cerrado. Esto nos permitía controlar el flujo de bughunters, enviar invitaciones de forma gradual y hacer un seguimiento de los resultados. Este enfoque nos dio la oportunidad de depurar y mejorar silenciosamente los procesos internos. Gracias a esto, pudimos prepararnos para salir a bolsa.

Integración y triaje

Identificar vulnerabilidades en un programa de recompensas por errores es un paso clave. Utilizamos la integración automática con Slack y Jira para que este proceso sea rápido y eficiente.

Flojo

Utilizamos dos canales:

• El canal principal para comunicar eventos clave en el procesamiento de informes. Esto incluye notificaciones de nuevos informes, asignaciones de tareas a ingenieros y solicitudes de divulgación de vulnerabilidades. Este canal permite que el equipo esté siempre al tanto de los eventos críticos.

• Un canal adicional es para los empleados que participan en el análisis inicial y la clasificación de los informes. Aquí se envían las notificaciones de actividades no urgentes, como comentarios de informes y detalles de clasificación.

Coincidencia de cuentas

La configuración de una asignación entre los usuarios de HackerOne y Slack garantiza que los comentarios y las notas de los informes importantes se envíen directamente a las partes responsables, lo que minimiza el riesgo de que se pase por alto información importante. Esto simplifica la comunicación entre el equipo de seguridad de inDrive y los investigadores, lo que facilita una corrección de vulnerabilidades más eficaz.

Jira

La integración con Jira le permite crear una tarea solo en el lugar correcto con un conjunto específico de campos. Con la función Jira Automation, creamos nuestras propias reglas de procesamiento de tareas para mejorar nuestros procesos internos de gestión de vulnerabilidades, lo que nos permite organizar este proceso de manera eficiente. A continuación, se muestra un ejemplo de esta automatización:

• Encontrado por automatización: el sistema completa automáticamente el campo Encontrado por con el valor de recompensa por error, lo que indica el origen de la tarea para su análisis.

• Asignación de tareas: mediante reglas, se asigna automáticamente una tarea a un ingeniero, lo que garantiza una distribución uniforme del trabajo.

• Notificaciones de Slack: cuando se asigna una tarea, se envía una notificación a Slack que menciona al ingeniero y proporciona toda la información necesaria.

Para vulnerabilidades críticas:

• Mensajes a un canal dedicado de Slack: la notificación de una vulnerabilidad crítica se envía a un canal separado para una respuesta inmediata.

• Envío de mensajes SMS: Además, se envían notificaciones SMS a las personas responsables.

Cómo combatir el spam con activadores

Los activadores de HackerOne son una herramienta potente que permite automatizar diversas acciones en respuesta a determinados eventos relacionados con nuevos informes de vulnerabilidad. Simplifican enormemente el trabajo del equipo de seguridad y ayudan a optimizar el proceso de respuesta a los informes.

Por ejemplo, al cambiar la marca de la empresa de inDriver a inDrive, a menudo nos encontramos con informes de problemas con las cuentas de redes sociales.

Personalizamos el disparador de la siguiente manera:

• Condición de activación: si el informe contiene palabras de la lista: medios, redes sociales, Facebook, Twitter, Instagram.

• Acción de activación: cuando se detecta la condición especificada, se muestra automáticamente al investigador una ventana emergente con el siguiente texto de advertencia: “Hola, parece que estás a punto de informar un problema con los enlaces a redes sociales (Instagram, Twitter, Facebook). Nuestra empresa está en proceso de cambio de marca y estamos al tanto de este problema. Temporalmente no aceptamos informes sobre este problema, por lo que te recomendamos que reconozcas el problema correctamente y te familiarices con la política de seguridad antes de continuar y enviar un informe”.

Esto no sólo ayuda a reducir el número de informes inapropiados, sino que también educa a los investigadores y mejora la calidad de los informes futuros.

Campaña y canal de Telegram

Comprendimos que con el tiempo la actividad en el programa disminuiría. Este es un proceso natural debido a que las vulnerabilidades más obvias ya se han encontrado y eliminado, y atraer nuevamente la atención de los investigadores requiere esfuerzos adicionales. Para mantener un alto nivel de compromiso e interés en nuestro programa, tomamos una serie de medidas.

Una de las herramientas clave fue nuestro canal de Telegram especializado para bughunters. Este canal no solo sirve como medio de comunicación, sino también como plataforma para compartir información útil. Compartimos activamente información sobre nuestra aplicación y proporcionamos materiales que pueden ayudar a los investigadores a encontrar vulnerabilidades en nuestros servicios. Puede tratarse de documentación técnica, descripciones de nuevas funciones o cambios arquitectónicos que puedan ser de interés desde el punto de vista de la seguridad.

Beneficios clave de nuestro canal de Telegram:

• Actualizaciones oficiales: Noticias directas y confiables del equipo de seguridad de inDrive.
• Anuncios de nuevas funciones: información sobre nuevos servicios y funciones que pueden ser de interés para los entusiastas del programa de recompensas por errores.
• Promociones y eventos: información sobre ofertas especiales y eventos relacionados con el programa de recompensas por errores.

Puede encontrar más información sobre el canal siguiendo el enlace: https://t.me/indrive_bbp.

Además, para atraer tanto a los bughunters nuevos como a los experimentados, lanzamos periódicamente campañas en la plataforma HackerOne. Las campañas nos permiten estimular el interés de los bughunters en nuestro programa. También anunciamos todos los lanzamientos de campañas a través de nuestro canal de Telegram, lo que nos permite transmitir rápidamente información a la audiencia y animarlos a participar.

Por ejemplo, a continuación se muestran las estadísticas de una de las campañas:

Estas medidas nos permiten mantener el interés en el programa bugbounty en un alto nivel, garantizando un flujo constante de nuevas ideas y hallazgos, lo que en última instancia contribuye a mejorar la seguridad de nuestros productos.

Nuestros consejos le ayudarán a mejorar drásticamente su tiempo en cada etapa del procesamiento de vulnerabilidades, desde el momento de la primera respuesta hasta el triaje y el momento de la recompensa.

Y esto, a su vez, aumentará la confianza y la satisfacción de los cazadores de errores que participan en su programa.

En conclusión, nuestra experiencia en la organización y desarrollo de un programa de recompensas por detección de errores en inDrive es un claro ejemplo de cómo la contratación de expertos externos en seguridad puede fortalecer significativamente la ciberdefensa de una empresa. Gracias a nuestra comunidad de hackers de sombrero blanco, no solo pudimos identificar y remediar muchas vulnerabilidades, sino que también optimizamos nuestros procesos internos, lo que aumentó nuestra eficiencia y mejoró la protección de nuestros sistemas y datos.

Agradecemos a todos los participantes de nuestro programa de recompensas por errores por su invaluable contribución a la seguridad de inDrive e invitamos a nuevos investigadores a unirse a nuestra comunidad. ¡Juntos haremos que el mundo digital sea más seguro!