Los programas de recompensas por fallos de ciberseguridad (BBP), en los que se recompensa a los participantes por identificar fallos explotables (o "bugs" de seguridad) en software o hardware, son cada vez más populares. Google, el Departamento de Defensa, Starbucks y cientos de otras empresas y organizaciones utilizan regularmente los BBP para comprar fallos de seguridad a los hackers. Una gran variedad de organizaciones han adoptado los BBP, y un número cada vez mayor de personas participan, la mayoría de las veces a través de plataformas como HackerOne o BugCrowd.
Recientemente, algunas empresas han adoptado las BBP para abordar cuestiones que van más allá de los fallos de seguridad. Por ejemplo, Rockstar Games, Twitter y otras han comenzado a utilizar las BBP para abordar diversos tipos de problemas sociotécnicos, incluido el daño algorítmico. Sin embargo, las condiciones en las que las BBP podrían ser útiles para encontrar, exponer y detener el daño algorítmico siguen siendo relativamente inexploradas. En Bug Bounties For Algorithmic Harms? Lessons from Cybersecurity Vulnerability Disclosure for Algorithmic Harms Discovery, Disclosure, and Redress, los investigadores de AJL Josh Kenway, Camille François, Sasha Costanza-Chock, Inioluwa Deborah Raji y la Dra. Joy Buolamwini se sumergen en en la pregunta "¿Cómo podríamos aplicar las BBP a áreas más allá de la ciberseguridad, incluyendo el daño algorítmico?"
Los autores se basan en entrevistas con líderes de campo, en la revisión de la literatura y en la investigación en profundidad de los BBP. El informe incluye:
con recomendaciones sobre cómo fomentar más eficazmente el descubrimiento, la divulgación y la mitigación del daño de los sistemas algorítmicos
con los mejores profesionales del sector, como el director general y el director técnico de la plataforma HackerOne y los investigadores de seguridad que dirigieron el programa Hack the Pentagon, entre otros
para los mecanismos de divulgación de vulnerabilidades
que escudriña las promesas y limitaciones del proyecto
para mejorar las BBP en el futuro
Hemos sintetizado cinco conclusiones de alto nivel que pueden resumirse como sigue, junto con las correspondientes recomendaciones que pueden encontrarse en el informe completo.
Un puñado de actores del ecosistema BBP han ido ampliando lentamente sus programas actuales para incluir cuestiones sociotécnicas. Por ejemplo, se han creado programas de BBP y otros relacionados para identificar casos de abuso de datos (Google y Facebook), errores sistemáticos en los algoritmos para hacer trampas en los videojuegos (Rockstar Games), sesgos en los algoritmos de recorte de imágenes en las redes sociales (Twitter) y protecciones de privacidad deficientes en el software para móviles en relación con las afirmaciones de los proveedores (Correlium). Esta progresión no se ha producido de forma estructurada, y aún no han surgido mejores prácticas claras, pero es probable que la tendencia siga acelerándose. Proporcionamos un conjunto de palancas de diseño y recomendaciones sobre cómo dar forma a las BBP para el descubrimiento y la mitigación de daños algorítmicos.
El atractivo de las "recompensas por errores" puede ocultar a menudo el hecho de que son sólo un mecanismo para mejorar la ciberseguridad que encaja en un arco más amplio y continuo de maduración del campo y desarrollo organizativo. Debería aplicarse a los daños algorítmicos una perspectiva de "ciclo de vida del producto tecnológico" similar a la que existe en la seguridad (como el "ciclo de vida del desarrollo seguro"), ya que para responder a los informes de daños algorítmicos, las organizaciones necesitan los "sistemas digestivos" para priorizar, evaluar y actuar sobre esos hallazgos.
Las plataformas de recompensas por errores desempeñan un papel tanto directo como indirecto en el fomento de las comunidades de práctica. Por ejemplo, pueden proporcionar materiales y herramientas educativas, y motivar a los miembros de la comunidad a desarrollar y compartir recursos de forma independiente. Creemos que existe una gran necesidad de recursos similares, bien seleccionados y accesibles para ayudar a nutrir la comunidad de investigación de daños algorítmicos. Advertimos de los enfoques de creación de comunidades que excluyen a los que no pertenecen a la informática, incluidos los defensores de la comunidad, al tiempo que elevan indebidamente las habilidades técnicas y el tecnosolucionismo.
Un pequeño número de plataformas de recompensas por errores domina el ecosistema de la divulgación de vulnerabilidades, lo que hace temer la mercantilización de la investigación en seguridad y la falta de diversidad entre los colaboradores de estas plataformas. Muchos mecanismos de descubrimiento de vulnerabilidades pueden entenderse como una forma de subcontratación, con acuerdos de compensación que van desde nada hasta lo incierto, pasando por lo incompleto. El despliegue exitoso de las recompensas por errores para los daños algorítmicos requerirá un esfuerzo serio para reclutar y retener diversas comunidades de investigadores y defensores de la comunidad, y para asegurar una compensación justa por el trabajo.
La divulgación de vulnerabilidades sigue luchando con los modelos de investigación compensada, segura, de terceros o de adversarios. Las plataformas que gestionan las BBP y actúan como intermediarias entre los piratas informáticos y las organizaciones objetivo desempeñan un papel destacado en el actual ecosistema de las BBP, y las organizaciones objetivo, a su vez, suelen tener derecho a la no divulgación. Los modelos de negocio y las fuentes de financiación de las plataformas de BBP tienden a inclinar su toma de decisiones hacia los intereses de las organizaciones objetivo, por ejemplo, a la hora de determinar si los informes de vulnerabilidad pueden hacerse públicos. Se necesita urgentemente una mayor protección para la investigación de daños algorítmicos por parte de terceros.
