Ambos gigantes tecnológicos reajustarán los pagos a expertos y entusiastas en ciberseguridad que comuniquen de forma responsable las vulnerabilidades en sus respectivos productos.

   Durante años, Google ha pagado a los investigadores y expertos independientes que detecten nuevas vulnerabilidades en sus productos. La política no se aplica únicamente a los sistemas operativos Chrome OS y Android, sino también a productos y servicios online, disponibles vía google.com, youtube.com y blogger.com. Google también ha anunciado iniciativas independientes para algunos de sus productos, como por ejemplo una recompensa de USD 200.000 ofrecida en 2016 para quien lograse vulnerar el smartphone Nexus.

   Para el caso de los productos basados en la web, las recompensas han estado limitadas a 20.000 dólares para el caso de vulnerabilidades críticas. Esta semana, la empresa han incrementado los pagos por las vulnerabilidades más graves, cuando estas hagan posible la ejecución de código aleatorio o habiliten el acceso ilimitado sistemas de archivos o bases de datos.

   La mayor compensación posible ha sido reajustada de los USD 20.000 señalados a USD 31.337, mientras que los pagos por notificaciones de acceso a archivos o bases de datos aumenta de USD 10.000 a USD 13.337.

   Los importes no son casuales y Google los explica en ésta página. Google explica que el reajuste obedece a que con el paso del tiempo ha sido cada vez más difícil encontrar vulnerabilidades y que por ello los investigadores deben dedicar más tiempo a detectarlos. “Queremos mostrar que valoramos el tiempo considerable que los investigadores dedican a nuestro programa VPR (Vulnerability Reward Program), por lo que hemos decidido reajustar los importes“, escribe Josh Armour, security program manager de Google en el blog de la empresa.

   En 2016, China fue el país que presidió las estadísticas de individuos que recibieron recompensas de Google por haber detectado y notificado responsablemente las vulnerabilidades.

   En cuanto a número de individuos que han notificado a Google sobre las vulnerabilidades en soluciones web, Android o Chrome, China rebasó en 2016 a Alemania, India y Estados Unidos, pasando así a ocupar el primer lugar. Este dato no deja de llamar la atención, considerando que Google no tiene oficinas ni tampoco ofrece productos o servicios en China.

   Al considerarse los importes pagados, Google transfirió USD 675.000 a participantes chinos en el programa VPR. En segundo y tercer lugar se ubican Rusia y Polonia, con USD 351.000 y USD 341.000, respectivamente. Gran parte de las notificaciones de vulnerabilidades recibidas por Google son rechazadas.

   Microsoft, por su parte, también ha reajustado sus recompensas con efecto a partir del 1 de mayo. Todos los importes serán doblados y los pagos oscilan entre USD 1.000 y USD 30.000 por vulnerabilidades detectadas en Exchange Online y Office 365 Admin Portal. Ambos servicios son componentes esenciales de la plataforma Office 365.

Fuente: Diarioti.com

Anuncios