En la actualidad la seguridad informática es una de las disciplinas que más crece en las organizaciones, pero no sólo para los trabajadores formales, ya que todos los «freelance» han encontrado una forma de ganar dinero en el mercado de vulnerabilidades.
Parece que este año luce especialmente prometedor, pues las compañías como Google y Microsoft han incrementado los pagos por las vulnerabilidades más graves, cuando estas hagan posible la ejecución de código aleatorio o habiliten el acceso ilimitado sistemas de archivos o bases de datos.
Durante años, Google ha pagado a los investigadores y expertos independientes que detecten nuevas vulnerabilidades en sus productos. La política no se aplica únicamente a los sistemas operativos Chrome OS y Android, sino también a productos y servicios online, disponibles vía google.com, youtube.com y blogger.com. Google también ha anunciado iniciativas independientes para algunos de sus productos, como por ejemplo una recompensa de 200 mil dólares ofrecida en 2016 para quien lograse vulnerar el smartphone Nexus.
Para el caso de los productos basados en la web, las recompensas han estado limitadas a 20 mil dólares para el caso de vulnerabilidades críticas.
La mayor compensación posible ha sido reajustada de los 20 mil dólares señalados a 31 mil 337 dólares, mientras que los pagos por notificaciones de acceso a archivos o bases de datos aumenta de 10 mil a 13 mil 337 dólares.
Los importes no son casuales y Google los explica en ésta página. Google explica que el reajuste obedece a que con el paso del tiempo ha sido cada vez más difícil encontrar vulnerabilidades y que por ello los investigadores deben dedicar más tiempo a detectarlos. “Queremos mostrar que valoramos el tiempo considerable que los investigadores dedican a nuestro programa VPR (Vulnerability Reward Program), por lo que hemos decidido reajustar los importes“, escribe Josh Armour, security program manager de Google en el blog de la empresa.
En 2016, China fue el país que presidió las estadísticas de individuos que recibieron recompensas de Google por haber detectado y notificado responsablemente las vulnerabilidades.
En cuanto a número de individuos que han notificado a Google sobre las vulnerabilidades en soluciones web, Android o Chrome, China rebasó en 2016 a Alemania, India y Estados Unidos, pasando así a ocupar el primer lugar. Este dato no deja de llamar la atención, considerando que Google no tiene oficinas ni tampoco ofrece productos o servicios en China.
Al considerarse los importes pagados, Google transfirió 675 mil dólares a participantes chinos en el programa VPR. En segundo y tercer lugar se ubican Rusia y Polonia, con 451 mil y 341 mil dólares, respectivamente. Gran parte de las notificaciones de vulnerabilidades recibidas por Google son rechazadas.
Microsoft
Microsoft, por su parte, también ha reajustado sus recompensas con efecto a partir del 1 de mayo. Todos los importes serán doblados y los pagos oscilan entre mil y 30 mil dólares por vulnerabilidades detectadas en Exchange Online y Office 365 Admin Portal. Ambos servicios son componentes esenciales de la plataforma Office 365.