Mozilla fue pionero en este campo y, en 2004, presentó su primer programa de recompensas a los que detectaran fallos de seguridad en su navegador. Hoy, diez años después, esta estrategia es seguida por los gigantes de la industria, con Google a la cabeza.
Panda Security dedica uno de sus últimos posts a los programas de recompensas para hackers que encuentren agujeros de seguridad en sus productos o servicios. Ésta es una práctica habitual entre las grandes compañías, que les puede llevar a ganar importantes cantidades de dinero.
Google puso en marcha su programa de recompensas en 2010 y, desde entonces, se abrió la veda para que la mayor parte de la industria comenzara a premiar con recompensas económicas a todo aquel que encontrara fallos de seguridad en sus productos. Hoy es práctica habitual y también lo hacen Facebook, Microsoft o PayPal, entre otros muchos.
Se denominan ‘bounty programs’ y premian a los usuarios, normalmente expertos, que descubran fallos de seguridad en sus productos. Otras reconocen la labor de esta comunidad, pero sin dinero de por medio.
Buscar agujeros en los dominios google.com, youtube.com, blogger.com y orkut.com tiene premio, desde que Google se lanzara a este tipo de programas para encontrar fallos en sus productos, así como en las aplicaciones de Chrome, el navegador desarrollado por la marca. En su apartado de seguridad, la empresa especifica que se considerarán errores, sobre todo, aquellos relacionados con la confidencialidad e integridad de los datos de los usuarios de estos servicios.
Las cifras que maneja el metabuscador van desde los 100 dólares, por defectos comunes, a los 20.000, por vulnerabilidades “muy sensibles”. Y la retribución puede ser aún mayor si hablamos de fallos verdaderamente graves.
El bounty program de Facebook alcanza una recompensa máxima de 20.000 dólares y una mínima de 500. Sin embargo, algunos investigadores han logrado hacerse con más de 100.000 dólares por detectar fallos relevantes. Desde que puso en marcha el programa en 2011 hasta abril de 2014, la suma destinada por la mayor red social del mundo asciende a 2 millones de dólares. De hecho, la cifra aumenta cada vez más rápido.
Y el pasado año le llegó el turno a Microsoft que puso en marcha tres programas de recompensa muy jugosos. De hecho, es la firma más generosa en este aspecto, a pesar de que nunca antes había dado reconocimiento alguno a los hackers éticos que encontraran fallos en su software. Sin duda, todo un cambio de actitud.
Su programa “Mitigation Bypass” ofrece 100.000 dólares a los que encuentren vulnerabilidades importantes en la última versión de su sistema operativo y abona hasta 50.000 dólares a los que aporten ideas para solventar los fallos detectados en el programa. En total, 150.000 dólares, si encuentras y contribuyes a arreglar un ‘bug’ relevante.
La fundación Mozilla no es tan generosa, pero también cuenta con un programa de recompensas. Sus premios por detectar errores graves son de 500 dólares, 3.000 si se trata de vulnerabilidades críticas. Y, además, puede presumir de haber sido la pionera en este tipo de programas que datan de 2004. Hay quien dice que esta es la razón por la que su navegador Firefox es más seguro que Internet Explorer (al menos, hasta que Microsoft se subió al carro).
Pero no todas las grandes empresas de tecnología ofrecen recompensas económicas a los investigadores. Twitter o Apple son buenos ejemplos. Se conforman con ofrecer reconocimiento a los miembros de “su comunidad” que encuentren fallos de seguridad, pero sin ninguna contraprestación. Son la nota discordante en un universo en el que se paga, y muy bien, a quien descubra fallos informáticos. Buenos tiempos para los hacker (éticos).
– PC World España