¿Cuál es la motivación de los cazadores de bugs?

El término "Bug Bounty" y en definitiva los programas de recompensa por el descubrimiento y reporte (responsable) de bugs se han expandido y multiplicado espectacularmente en los últimos años. Bugcrowd ha lanzado su segundo informe anual "Mind of a Hacker", para proporcionar información sobre las motivaciones y preferencias de los cazadores de bugs y así ayudar a las empresas a adaptar sus programas de bonificación para que puedan conducir a mejores resultados para todos.

Las ideas más interesantes derivadas de una encuesta a más de 500 denominados "bug hunters" son las siguientes:

- Vienen de todas partes del mundo (216 países), pero la gran mayoría de ellos se encuentran en los Estados Unidos y la India.

- La mayoría son muy jóvenes: el 71% tienen entre 18 y 29 años de edad (un 60% más que el año anterior) y el 8% aún no han cumplido los 18 años.

- La mayoría de los cazadores de bug tienen una formación avanzada (el 82% de los cazadores de bugs han completado alguna forma de educación superior)

- La mayoría de ellos (86%) trabajan en la industria de la seguridad (pentesters, consultores de seguridad, etc.). El 14% no tiene experiencia específica en seguridad pero en cambio,tiene puestos de TI más amplios, como ingenieros de software, desarrolladores o administradores de sistemas.

- Tienen conocimiento y experiencia en muchas tecnologías:




Motivaciones

Las motivaciones de los cazadores de bugs encuestados para participar en los programas de recompensa son muy diversas:
 


Según esta información, Bugcrowd los ubica en uno de los cinco grupos principales:

- Aficionados - Motivados por la diversión y la obtención de ingresos adicionales, la mayoría tiene una experiencia considerable en la búsqueda de bugs.

- Full-Timers: utilizan los programas de recompensa como su principal fuente de ingresos y pasan más tiempo en la búsqueda de bugs que otros. Además, la mayoría de ellos planea aumentar sus esfuerzos de búsqueda de bugs.

- Virtuosos - Están motivados por el desafío de la caza de bugs y quieren ser parte de la élite de seguridad, por lo que utilizan la búsqueda de bugs para perfeccionar su oficio y para ganar dinero para comprar herramientas de seguridad y desarrollo profesional.

- Protectores: su principal motivación es hacer que el mundo TI sea más seguro para todos. El 27% de ellos aspira a convertirse en un cazador de bugs a tiempo completo. El 57% necesitaría 50K o más para convertirse en un cazador de bugs a tiempo completo. Se sienten atraídos por los programas de bonificación de bugs que tienen un alcance amplio, objetivos desafiantes y un alto potencial para encontrar un error válido.

- Buscadores de conocimiento: la mayoría son nuevos en la escena de recompensas de bugs y lo hacen por diversión, educación y como desafío. El 29% aspira a ser pentesters y el 27% aspira a ser cazadores de bugs a tiempo completo.

¿Cómo los investigadores eligen un programa de recompensas de bugs para participar?

Para la mayoría es importante que haya un amplio alcance y un alto potencial para encontrar bugs, lo que significa que los cazadores de bugs están muy orientados a los resultados:



"A medida que el ecosistema de recompensas de bugs madura, el objetivo es aprovechar cada uno de los skills del investigador, ya que cada uno aporta su propia perspectiva y experiencia al juego", señaló la compañía.

Fuentes:
- Bugcrowd “Inside the Mind of a Hacker” Report Finds Young Professionals Increasingly Turning to Bug Hunting
- What motivates bug hunters?

Comentarios