Ambos gigantes
tecnológicos reajustarán los pagos a expertos y entusiastas en ciberseguridad
que comuniquen de forma responsable las vulnerabilidades en sus respectivos
productos.
Durante años,
Google ha pagado a los investigadores y expertos independientes que detecten
nuevas vulnerabilidades en sus productos. La política no se aplica únicamente a
los sistemas operativos Chrome OS y Android, sino también a productos y
servicios online, disponibles vía google.com, youtube.com y blogger.com. Google
también ha anunciado iniciativas independientes para algunos de sus productos,
como por ejemplo una recompensa de USD 200.000 ofrecida en 2016 para quien
lograse vulnerar el smartphone Nexus.
Para el caso de
los productos basados en la web, las recompensas han estado limitadas a 20.000
dólares para el caso de vulnerabilidades críticas. Esta semana, la empresa han
incrementado los pagos por las vulnerabilidades más graves, cuando estas hagan
posible la ejecución de código aleatorio o habiliten el acceso ilimitado
sistemas de archivos o bases de datos.
La mayor
compensación posible ha sido reajustada de los USD 20.000 señalados a USD
31.337, mientras que los pagos por notificaciones de acceso a archivos o bases
de datos aumenta de USD 10.000 a USD 13.337.
Los importes no
son casuales y Google los explica en ésta página. Google explica que el
reajuste obedece a que con el paso del tiempo ha sido cada vez más difícil
encontrar vulnerabilidades y que por ello los investigadores deben dedicar más
tiempo a detectarlos. “Queremos mostrar que valoramos el tiempo considerable
que los investigadores dedican a nuestro programa VPR (Vulnerability Reward
Program), por lo que hemos decidido reajustar los importes“, escribe Josh
Armour, security program manager de Google en el blog de la empresa.
En 2016, China
fue el país que presidió las estadísticas de individuos que recibieron
recompensas de Google por haber detectado y notificado responsablemente las
vulnerabilidades.
En cuanto a
número de individuos que han notificado a Google sobre las vulnerabilidades en
soluciones web, Android o Chrome, China rebasó en 2016 a Alemania, India y
Estados Unidos, pasando así a ocupar el primer lugar. Este dato no deja de
llamar la atención, considerando que Google no tiene oficinas ni tampoco ofrece
productos o servicios en China.
Al considerarse
los importes pagados, Google transfirió USD 675.000 a participantes chinos en
el programa VPR. En segundo y tercer lugar se ubican Rusia y Polonia, con USD
351.000 y USD 341.000, respectivamente. Gran parte de las notificaciones de
vulnerabilidades recibidas por Google son rechazadas.
Microsoft, por
su parte, también ha reajustado sus recompensas con efecto a partir del 1 de
mayo. Todos los importes serán doblados y los pagos oscilan entre USD 1.000 y
USD 30.000 por vulnerabilidades detectadas en Exchange Online y Office 365
Admin Portal. Ambos servicios son componentes esenciales de la plataforma
Office 365.
Fuente: Diarioti.com