Las recompensas por errores pueden ayudar a proteger las redes blockchain, pero tienen resultados mixtos – Crypto News

Las recompensas por errores son programas que ofrecen las organizaciones para incentivar a los investigadores de seguridad o a los piratas informáticos éticos o de sombrero blanco a encontrar e informar vulnerabilidades en su software, sitios web o sistemas. Las recompensas por errores tienen como objetivo mejorar la seguridad general mediante la identificación y corrección de posibles debilidades antes de que los actores malintencionados puedan explotarlas.

Las organizaciones que implementan programas de recompensas por errores generalmente establecen pautas y reglas que describen el alcance del programa, los objetivos elegibles y los tipos de vulnerabilidades que les interesan. Según la gravedad y el impacto de la vulnerabilidad descubierta, también pueden definir las recompensas ofrecidas por envíos de errores válidos, que van desde pequeñas cantidades de dinero hasta importantes premios en efectivo.

Los investigadores de seguridad participan en programas de recompensas por errores al buscar vulnerabilidades en sistemas o aplicaciones designados. Analizan el software, realizan pruebas de penetración y emplean varias técnicas para identificar posibles debilidades. Una vez que se descubre una vulnerabilidad, se documenta y se informa a la organización que ejecuta el programa, generalmente a través de un canal de informes seguro proporcionado por la plataforma de recompensas por errores.

Al recibir un informe de vulnerabilidad, el equipo de seguridad de la organización verifica y valida el envío. El investigador es recompensado de acuerdo con las pautas del programa si se confirma la vulnerabilidad. Luego, la organización procede a corregir la vulnerabilidad informada, mejorando la seguridad de su software o sistema.

Las recompensas por errores han ganado popularidad porque proporcionan una relación mutuamente beneficiosa. Las organizaciones se benefician de la experiencia y las diversas perspectivas de los investigadores de seguridad que actúan como una capa adicional de defensa, ayudando a identificar vulnerabilidades que pueden haberse pasado por alto. Por otro lado, los investigadores pueden mostrar sus habilidades, obtener recompensas financieras y contribuir a la seguridad general de los ecosistemas digitales.

Descubrir vulnerabilidades dentro del código de una plataforma es crucial cuando se trata de proteger a los usuarios. Según un informe de Chainalysis, se robaron alrededor de USD 1300 millones en criptomonedas de intercambios, plataformas y entidades privadas.

Las recompensas por errores pueden ayudar a fomentar la divulgación responsable y coordinada de vulnerabilidades, alentando a los investigadores a informar las vulnerabilidades a la organización primero en lugar de explotarlas para beneficio personal o causar daño. Se han vuelto parte integral de las estrategias de seguridad de muchas organizaciones, fomentando un entorno de colaboración entre los investigadores de seguridad y las organizaciones que ayudan a proteger.

Involucrado

Las comunidades pueden desempeñar un papel crucial en la búsqueda de errores al aprovechar sus diversas perspectivas y conjuntos de habilidades. Cuando las organizaciones involucran a la comunidad, aprovechan un amplio grupo de investigadores de seguridad con diferentes antecedentes y experiencias.

Troy Le, jefe de negocios de la firma de auditoría de cadenas de bloques Verichains, dijo a Cointelegraph: “Los programas de recompensas por errores aprovechan el poder de la comunidad para mejorar la seguridad de las redes de cadenas de bloques al involucrar a una amplia gama de personas capacitadas, conocidas como investigadores de seguridad o piratas informáticos éticos”.

Le continuó: “Estos programas incentivan a los participantes a buscar vulnerabilidades y reportarlas a la organización de recompensas. Las organizaciones pueden aprovechar un grupo diverso de talentos con diferentes experiencias y perspectivas al involucrar a la comunidad. En última instancia, los programas de recompensas por errores promueven la transparencia, facilitan la mejora continua y refuerzan la postura general de seguridad de las redes blockchain”.

Además de diversas perspectivas, involucrar a la comunidad en la búsqueda de errores ofrece escalabilidad y velocidad en el proceso de descubrimiento.

Las organizaciones a menudo enfrentan restricciones de recursos, como tiempo y mano de obra limitados, lo que puede dificultar su capacidad para evaluar a fondo sus sistemas en busca de vulnerabilidades. Sin embargo, al involucrar a la comunidad, las organizaciones pueden aprovechar un gran grupo de investigadores que pueden trabajar simultáneamente para identificar errores.

Esta escalabilidad permite un proceso de descubrimiento de errores más eficiente, ya que varias personas pueden revisar diferentes aspectos del sistema al mismo tiempo.

Otra ventaja de involucrar a la comunidad en la búsqueda de errores es la rentabilidad en comparación con las auditorías de seguridad tradicionales. Las auditorías tradicionales pueden ser costosas e implican la contratación de consultores de seguridad externos o la realización de evaluaciones internas. Por otro lado, los programas de recompensas por errores brindan una alternativa rentable.

Reciente: Google Cloud promueve las ambiciones de Bitcoin Lightning con la asociación Voltage

Este modelo de pago por resultados garantiza que las organizaciones solo paguen por los errores reales encontrados, lo que lo convierte en un enfoque más rentable. Las recompensas por errores se pueden adaptar para ajustarse al presupuesto de una organización, y las recompensas se pueden ajustar en función de la gravedad y el impacto de las vulnerabilidades informadas.

Pablo Castillo, jefe de tecnología de Chain4Travel, el facilitador de la cadena de bloques Camino, dijo a Cointelegraph: “Involucrar a la comunidad en la búsqueda de errores tiene muchos beneficios tanto para las organizaciones como para los investigadores de seguridad. Por un lado, amplía el acceso al talento y la experiencia, permitiéndoles aprovechar un conjunto diverso de habilidades y perspectivas”.

Castillo continuó: “Esto aumenta las posibilidades de descubrir y abordar de manera efectiva las vulnerabilidades, mejorando así la seguridad general de las redes blockchain. También fomenta una relación positiva con la comunidad, generando confianza y reputación dentro de la industria”.

“Para los investigadores de seguridad, participar en programas de recompensas por errores es una oportunidad para mostrar sus habilidades en un escenario del mundo real, obtener reconocimiento y potencialmente ganar recompensas financieras”.

Esta colaboración no solo fortalece la postura de seguridad de la organización, sino que también brinda reconocimiento y recompensas a los investigadores por sus valiosas contribuciones. La comunidad se beneficia al obtener acceso a sistemas del mundo real y la oportunidad de mejorar sus habilidades mientras genera un impacto positivo.

Lanzamiento de criptoproyectos sin auditoría

Muchos proyectos criptográficos se lanzan sin realizar auditorías de seguridad adecuadas y, en cambio, confían en piratas informáticos de sombrero blanco para descubrir vulnerabilidades. Varios factores contribuyen a este fenómeno.

En primer lugar, la industria de la criptografía opera en un entorno acelerado y altamente competitivo. Ser el primero en el mercado puede proporcionar una ventaja significativa. Las auditorías de seguridad integrales pueden llevar mucho tiempo, ya que implican una revisión exhaustiva del código, pruebas y análisis de vulnerabilidades. Al omitir o retrasar estas auditorías, los proyectos pueden acelerar su lanzamiento y obtener un punto de apoyo temprano en el mercado.

En segundo lugar, los proyectos criptográficos, especialmente las nuevas empresas y las iniciativas más pequeñas, a menudo enfrentan limitaciones de recursos. La realización de auditorías de seguridad exhaustivas por parte de empresas de auditoría acreditadas puede resultar costosa.

Estos costos incluyen la contratación de auditores externos, la asignación de tiempo y recursos para las pruebas y el tratamiento de las vulnerabilidades identificadas. Los proyectos pueden priorizar otros aspectos, como el desarrollo o la comercialización debido a presupuestos limitados o decisiones de priorización.

Otra razón es la naturaleza descentralizada de las cadenas de bloques y la fuerte ética impulsada por la comunidad del espacio criptográfico. Muchos proyectos adoptan la filosofía de la descentralización, que incluye la distribución de responsabilidades y la toma de decisiones.

Sin embargo, existen desventajas significativas en el lanzamiento de proyectos criptográficos sin las auditorías adecuadas y confiando únicamente en piratas informáticos de sombrero blanco. Una desventaja importante es el mayor riesgo de explotación. Sin una evaluación exhaustiva de la base de código, las posibles vulnerabilidades y debilidades pueden pasar desapercibidas.

Los actores maliciosos pueden explotar estas vulnerabilidades para comprometer la seguridad del proyecto, lo que lleva al robo de fondos, acceso no autorizado o manipulación del sistema. Esto puede resultar en pérdidas financieras significativas y daños a la reputación.

Otro inconveniente es la naturaleza incompleta o sesgada de las evaluaciones de seguridad. Si bien los piratas informáticos de sombrero blanco desempeñan un papel crucial en la identificación de vulnerabilidades, no brindan el mismo nivel de seguridad que las auditorías integrales realizadas por empresas de seguridad profesionales.

Los hackers de sombrero blanco pueden tener sesgos, áreas de especialización o limitaciones con respecto al tiempo y los recursos. Pueden centrarse en aspectos o vulnerabilidades específicos, y posiblemente pasen por alto otros problemas críticos de seguridad. La evaluación general de seguridad puede estar incompleta sin una visión holística proporcionada por una auditoría exhaustiva.

Castillo dijo: “Si bien los piratas informáticos de sombrero blanco desempeñan un papel fundamental en la identificación de vulnerabilidades, es posible que confiar únicamente en ellos no brinde una cobertura integral. Sin auditorías de seguridad adecuadas con proveedores establecidos, existe una mayor posibilidad de perder vulnerabilidades críticas o fallas de diseño que los actores malintencionados podrían explotar”.

Castillo continuó: “Las medidas de seguridad inadecuadas pueden generar varios riesgos, incluidas posibles infracciones, pérdida de fondos de los usuarios, daños a la reputación y más. En resumen: el lanzamiento sin una auditoría podría poner el proyecto en riesgo de incumplimiento, lo que generaría problemas legales y sanciones financieras”.

Además, confiar únicamente en los hackers de sombrero blanco puede carecer de las medidas de responsabilidad y control de calidad típicamente asociadas con las auditorías profesionales. Las firmas de auditoría siguen metodologías, estándares y mejores prácticas establecidas en las pruebas de seguridad.

También se adhieren a las normas y directrices de la industria, lo que garantiza una evaluación coherente y rigurosa de la postura de seguridad del proyecto. Por el contrario, depender de evaluaciones ad hoc realizadas por hackers de sombrero blanco individuales puede generar metodologías inconsistentes, niveles variables de rigor y brechas potenciales en el proceso de evaluación de la seguridad.

Además, los aspectos legales que rodean las acciones de los hackers de sombrero blanco pueden ser ambiguos. Si bien muchos proyectos aprecian y recompensan la divulgación responsable, las implicaciones legales pueden variar según la jurisdicción y las políticas del proyecto.

Los hackers de sombrero blanco pueden enfrentar desafíos para reclamar recompensas, recibir el reconocimiento adecuado o incluso encontrar repercusiones legales en algunos casos. Sin una protección legal clara y marcos bien definidos, puede haber falta de confianza y transparencia entre el proyecto y los piratas informáticos.

Por último, confiar únicamente en los hackers de sombrero blanco puede resultar en una gama más limitada de experiencia y perspectivas que una auditoría integral. Las empresas de auditoría aportan conocimientos especializados, experiencia y un enfoque sistemático a las pruebas de seguridad.

Pueden identificar vulnerabilidades complejas y posibles vectores de ataque que los piratas informáticos individuales pueden pasar por alto. Al omitir las auditorías, los proyectos corren el riesgo de no descubrir vulnerabilidades críticas que podrían socavar la seguridad del sistema.

Le dijo: “Lanzar proyectos criptográficos sin las auditorías de seguridad adecuadas y confiar únicamente en los piratas informáticos de sombrero blanco conlleva riesgos y desventajas significativos”.

Le enfatizó que las auditorías de seguridad adecuadas realizadas por profesionales experimentados “proporcionan una evaluación sistemática y exhaustiva de la postura de seguridad de un proyecto”. Estas auditorías ayudan a identificar vulnerabilidades, fallas de diseño y otros riesgos potenciales que pueden pasar desapercibidos.

“Descuidar estas auditorías puede tener consecuencias graves, incluida la pérdida de fondos de los usuarios, daños a la reputación, problemas regulatorios e incluso el fracaso del proyecto”, dijo Le. “Es esencial adoptar un enfoque equilibrado que incluya programas de recompensas por errores y auditorías de seguridad profesionales para garantizar una cobertura de seguridad integral y mitigar los riesgos potenciales”.

Reciente: Animoca sigue optimista sobre los juegos de cadena de bloques, espera la licencia para el fondo de metaverso

Si bien involucrar a los hackers de sombrero blanco y a la comunidad en las pruebas de seguridad puede proporcionar información y contribuciones valiosas, confiar únicamente en ellos sin las auditorías adecuadas presenta desventajas significativas.

Aumenta el riesgo de explotación, puede resultar en evaluaciones de seguridad incompletas o sesgadas, carece de responsabilidad y control de calidad, ofrece protección legal limitada y puede conducir a la supervisión de vulnerabilidades críticas.

Para mitigar estas desventajas, los proyectos criptográficos podrían priorizar auditorías de seguridad integrales realizadas por auditores profesionales de renombre y al mismo tiempo aprovechar las habilidades y el entusiasmo de la comunidad a través de programas de recompensas por errores e iniciativas de divulgación responsable.

Recoge este artículo como NFT para preservar este momento en la historia y mostrar su apoyo al periodismo independiente en el espacio criptográfico.