Dinero a cambio de bugs

Un "gracias" era lo que recibían en el pasado los investigadores de seguridad que reportaban errores de los sitios web. Los tiempos cambiaron y hoy las grandes empresas pagan enormes sumas de dinero a quienes les informen sobre las fallas en sus sistemas.

Comunicar las vulnerabilidades de los servicios online, delatar cibercriminales y realizar sugerencias de medidas de seguridad son acciones que deben dirigirse de forma exclusiva al vendedor o responsable de la aplicación mediante un canal privado. Es que si las fallas toman estado público pueden ser aprovechadas por delincuentes informáticos para causar daño.

Las recompensas por bugs son ofrecidas por las compañías como forma de asegurarse de que las personas informen si encuentran vulnerabilidades en sus servicios. De esta manera, los técnicos de las empresas pueden corregir esos errores en el menor tiempo posible y evitar que sean explotados por terceros con fines ilegítimos.

Si bien esta estrategia es un fenómeno relativamente nuevo, en los últimos años las suculentas recompensas se convirtieron en una medida de seguridad importante para los negocios que dependen de internet.

Por ejemplo, Microsoft entregó su primer recompensa de US$ 100 mil a un investigador que descubrió un bug en Windows 8 y entregó US$ 200 mil por un prototipo de seguridad para prevenir la explotación de errores en apps de Windows.

Los canales de soporte para clientes que hay en las web de las compañías son una alternativa para comunicar las fallas en los sistemas; sin embargo, puede que a través de este medio no se tenga en consideración la información reportada. Así que lo mejor es buscar en los sitios de cada empresa los documentos que explican cómo reportar las fallas de sus productos y proceder de esa manera. Si el informe cumple con todos los requerimientos, la empresa recompensará.

La empresa aérea premia a los investigadores con millas aéreas en lugar de dinero. La escala va de 50 mil millas para una falla de bajo nivel, pasando por 250 mil millas por informar fugas de datos personales o el salteo de autenticación y hasta 1 millón de millas por vulnerabilidades más graves.

El buscador tiene un programa de recompensas de seguridad para su sistema operativo Android. Cuánto más grande sea el fallo descubierto y cuánta más información se aporte para solucionarlo, mayor será la recompensa. Para quienes no estén interesados en el dinero, Google da la opción de donarlo a alguna ONG.

Reginaldo Silva, un ingeniero en sistemas de Brasil, encontró a fines de 2013 una de las peores vulnerabilidades en el software de la red social y fue recompensado con más de US$ 30 mil. La falla permitía a cibercriminales leer cualquier archivo y abrir conexiones de red arbitrarias en un servidor de Facebook.