Facebook y Microsoft se han ganado el respaldo de los expertos para su iniciativa HackerOne, por la que ofrecerán recompensas económicas a los expertos que descubran e informen de las vulnerabilidades que encuentren en productos muy populares.
HackerOne fue presentado la semana pasada y pretende, según sus promotores, premiar la investigación de áreas que mejoren la seguridad de la Web, en general, sin restringirlo a las tecnologías de Microsoft y Facebook. Hay dos tipos de recompensa para cada error, una por encontrarlo y otra por resolverlo, lo que puede permitir a una misma persona doblar su premio si aporta una solución al error que él mismo detecta o sumarse otro que complete el trabajo. Los premios varían entre los 300 y los 5 mil dólares, según la gravedad de la incidencia.
Precisamente el hecho de que el programa se extienda a muchas tecnologías, como Python, Perl, PHP, Ruby on Rails y Django, Apache o Nginx Web, o a tecnologías de filtrado de aplicaciones de IE 10, Chrome y Adobe Reader, es uno de los aspectos por lo que los expertos en seguridad están elogiando este programa.
Se ha habilitado un sitio web donde los expertos pueden informar de las vulnerabilidades detectadas y conectar con los equipos de respuesta para resolver el fallo. La página explica las pautas y tiempos de divulgación de la vulnerabilidad y los procesos que los investigadores deben seguir para acceder a la recompensa.
A Dan Kaminsky, cofundador y director científico de seguridad de la firma WhiteOps, le parece que la iniciativa es innovadora puesto que “Microsoft y Facebook están diciendo que si el software ya se ha convertido en infraestructura, entonces va en interés de todos mantenerlo seguro”, explica. Parece claro que este programa facilitará la labor de los analistas de seguridad a la hora de informar de nuevas vulnerabilidades que afecten a diferentes productos y tecnologías y permitirá una mejor respuesta, añade.
Otros directivos subrayan el carácter colectivo de la iniciativa y un avance positivo en la divulgación de vulnerabilidades que afecten a tecnologías de infraestructura muy diversas.
El portavoz del programa de recompensas adelanta que Facebook y Microsoft financiarán la ronda inicial de recompensas, pero éste es un esfuerzo de toda la comunidad e implica la participación de muchos otros.
-Jaikumar Vijayan, Computerworld
