Cuando un programa o aplicación llega al público, antes ha pasado por versiones beta de prueba y por QA Testers que se encargan de buscarles las cosquillas en busca de errores. Sin embargo, no hay como lanzarlo al mundo y que lo pruebe gente de todo tipo, conocimientos y necesidades para encontrar ese bug o esa vulnerabilidad que había pasado desapercibido.
Aunque el fallo podría saltarle a cualquiera fruto del azar, en realidad es algo parecido a buscar una aguja en un pajar, especialmente si vas a ciegas. Pero si sabes dónde suelen fallar esas aplicaciones, cuáles son sus retos y además tienes conocimientos y experiencia, mucho mejor y más lucrativo: las grandes empresas bonifican a quienes encuentran brechas de seguridad y solventan retos de programación y lo hacen muy bien. Tanto, que hasta podrías vivir de ello.
Las mayores recompensas por reportes de seguridad y fallos de las big tech
Google tiene hasta un Programa de Recompensas de vulnerabilidad (VRR, acrónimo del inglés, Vulnerability Reward Program) donde por ejemplo podemos llevarnos recompensas de hasta 31.337 dólares como máximo para aquellas aplicaciones que permiten gestionar una cuenta de Google con ejecución remota de código, dentro de la sección de vulnerabilidades de seguridad, pero también las hay para extensiones de Chrome, hallar métodos para abusar de sus productos y para IA, si bien estas últimas dependen de la gravedad y del objetivo (y se enmarcan dentro de las de seguridad).
Pero ojo porque no se queda aquí la cosa: Google se ha asociado con Geneva Science and Diplomacy Anticipator y XPRIZE para premiar a quienes usen ordenadores cuánticos para resolver problemas reales , ¿cómo? Será con un formato de competición de tres años de duración y cinco millones de dólares como galardón. Aquí tienes las bases del concurso.
Apple tiene su Apple Security Bounty para compensar a quienes reporten fallos o incidencias en función del tipo, el nivel de acceso que permitan y la calidad de la información proporcionada. Aunque no tiene una tabla tan clara como Google, sí que lista algunos ejemplos para hacerse a la idea y aquí es donde nos encontramos otro premio gordo: dos millones de dólares para el que lista como fallo más grave, los problemas que evitan las protecciones específicas de su modo lockdown, si bien también alcanza los seis ceros con un ataque de red sin interacción del usuario donde se produzca ejecución de código del kernel. En el otro lado de la balanza, el bypass de la pantalla de bloqueo de un dispositivo lleva consigo un mínimo de 5.000 dólares.
El Microsoft Bug Bounty Program es el lugar donde reportar vulnerabilidades en productos, servicios o dispositivos de la empresa con sede en Redmond, que clasifica en categorías como los programas de Cloud, programas de plataformas y programas de defensa. En ellos encontramos recompensas que van desde los 15.000 dólares hasta los 250.000 para Microsoft Hyper-V y posibles vulnerabilidades críticas de ejecución remota de código, divulgación de información y denegación de servicios.
El emporio de Mark Zuckerberg dispone de su Meta Bug Bounty Program, donde puede verse que este año ya han repartido más de medio millón de dólares solo este año y que desde el inicio del programa han recopensado con más de 15 millones de dólares. El rango de recompensas base va desde los 500 dólares como mínimo hasta los 300.000 dólares, a los que puede añadirse un 30% más. El gráfico lista esos niveles, aunque como resumen, la cantidad depende del impacto máximo encontrado de forma interna.
Samsung no tiene uno, sino varios programas de recompensas en función del tipo de dispositivo o servicio. Algunas categorías directamente ofrecen enlace al email de contacto y otros como la de Smart TVs, audio y pantallas, no proporcionan cifras, pero sí que lo hace el Samsung Mobile Security Rewards Program, centrado en smartphones y tabletas y recompensa con cantidades entre 200 y 200.000 dólares.
El Amazon Vulnerability Research Program nació en abril de 2020 y clasifica los bugs detectados en cuatro niveles: bajos, medios, altos y críticos, lo que se relaciona directamente con la bonificación, que va desde los 200 dólares hasta los 25.000.
Hace menos de un año que OpenAI, ínclita creadora de ChatGPT , ha estrenado su propio OpenAI Bug Bounty Program con el objetivo de desarrollar una IA segura y avanzada, para lo que solicitan la ayuda de quien quiera recoger el guante. Aunque comparada con otras, las bonificaciones son algo rácanas (va desde 200 hasta 20.000 dólares), ya llevan 75 vulnerabilidades recompensadas y la media de los premios es de 1.26,66 dólares en el último trimestre.
Netflix también cuenta con su Bug Bounty Program, gestionado a través de Bugcrowd, donde podemos ver que la horquilla de recompensas van de 200 a 20.000 dólares, con más de 800 recompensas repartidas y 1.840 dólares como media trimestral.
Portada | Foto de Christopher Gower en Unsplash
Ver 0 comentarios