Tener un programa de recompensas por errores para pagar a los hackers de sombrero blanco por informar sobre vulnerabilidades es una cosa. Pero disponer de un servicio de seguridad permanente para responder a esos informes puede resultar muy caro, afirma Michell Amador, fundador y CEO de Immunefi.
"Mucha gente no quiere levantarse un domingo a las 4 de la mañana para ocuparse de un informe, y no puedes saber si el informe es ese hackeo serio, o si es sólo spam", dijo Amador en un episodio reciente de gm de Decrypt. "Y por eso [las empresas] nos contratan para proporcionar una cobertura lo más cercana posible a las 24 horas del día, los 7 días de la semana".
Los programas de recompensas por fallos pagan a ingenieros de seguridad independientes por tomar errores explotables en el código antes de que se conviertan en un hackeo. Immunefi acumula miles de recompensas por errores para los clientes de Web3 en su plataforma, en un intento de hacer más seguro este espacio. Sólo en 2022, Immunefi calcula que las estafas de seguridad costaron a la comunidad Web3 unos 4.000 millones de dólares.
Immunefi cuenta con una red global de empleados que dan cobertura a sus clientes de suscripción las 24 horas del día, en múltiples zonas horarias de todo el mundo, según Amador.
Se inspiró en la seguridad de los proyectos de blockchain tras una tumultuosa historia con proyectos no aprobados, algunos de los cuales acabaron hackeándole a él personalmente.
"Llevo mucho tiempo en este sector, lo que significa que me han hackeado, me han estafado", dijo. "He lidiado con hackeos de mis amigos, he lidiado con estafas de mis amigos, he utilizado demasiadas plataformas de intercambio que no tuvieron un final feliz".
También sopesó el impacto que la inteligencia artificial podría tener en su rincón del sector. La IA tiene el potencial de sustituir a trabajadores sobrecargados o hacer que el flujo de trabajo medio sea más eficaz y preciso, de acuerdo con Amador. Sin embargo, la IA aún no es un sustituto adecuado para los ingenieros de seguridad.
"Por lo que sabemos", dijo Amador, "estamos muy lejos de poder utilizarla en cuestiones prácticas de seguridad".