En vistas a seguir mejorando la seguridad de Chrome, Google anunció que aumentará el monto de los bonos que paga a quienes descubren bugs y exploits ocultos en el navegador, a un máximo de 15 mil dólares. Se trata de un aumento considerable, si tenemos en cuenta que el tope anterior era de 5 mil.
Tim Willis, ‘Hacker Philanthropist’ del equipo de seguridad de Google, explicó que el aumento es necesario ya que las mejoras de seguridad del navegador han derivado en que se dificulte la tarea de encontrar bugs: "En reconocimiento al esfuerzo extra que lleva descubrir vulnerabilidades en Chrome, aumentaremos los niveles de nuestras recompensas. También haremos algunos cambios para ser más transparentes con los investigadores que reporten un bug".
Willis aclara que, en casos extraorinarios, 15 mil dólares no será el tope, citando un ejemplo en el que un reporte particularmente fuerte fue recompensado con más del tope de ese momento, cuando Chrome solucionó 50 vulnerabilidades. "Como siempre, nos reservamos el derecho de recompensar por sobre estos niveles a los reportes particularmente buenos. Por ejemplo, el mes pasado recompensamos con 30 mil dólares a un impresionante reporte", dice la publicación.
La compañía ofrece una explicación clara de cómo se calculan las recompensas, dependiendo del nivel dedetalle, y el tipo de falla. Incluso van a retrotraer la nueva escala de pagos a las vulnerabilidades descubiertas hasta el 1 de julio de 2014.
Este es el detalle actualizado del programa de pagos:
Los premios listados son para Chrome en Windows 7 y posteriores, Mac OS X 10.9 y posteriores, Linux, Android 4.4 y posteriores, iOS 7 y posteriores, y actuales versiones de Chrome OS. También serán aceptadas vulnerabilidades de Chrome en Windows XP y Vista, pero las recompensas serán menores.
Google acepta que el pago por exploits en Chrome puede ser mayor y más tentador en el mercado negro, por lo cual ha mejorado la oferta prometiendo incluir a quienes reporten vulnerabilidades en su "Hall of Fame" (o salón de la fama) reconociendo su talento:
Entendemos que hay rincones oscuros de Internet que podrían pagarte más dinero para adquirir cualquier vulnerabilidad que encuentreso exploits que desarrolles. Esta gente compra vulnerabilidades y exploits con finesofensivos para atacar a otros usuarios en Internet. Creemos que la recompensa que estás recibiendo viene con ataduras -incluyendo comprar tu silencio y aceptar que cualquier bug que vendas podría ser usadopara atacar a otras personas sin su conocimiento. Entendemos que el monto de nuestras recompensas en efectivo pueden ser menores a esas alternativas, pero te ofrecemos reconocimiento público de tus habilidades y de cuán genial eres, una solución rápida y la oportunidad de escribir/hablar/presentar abiertamente tu impresionante trabajo (¡mientras te ofrecemos también una recompensa financiera por tu trabajo!). Además, no tendrás que preocuparte *nunca* de que tus bugs sean usados por gente oscura con fines desconocidos.
Tal como reporta ZDNet, el programa de bonos para investigadores de Google ha dado buenos resultados, con alrededor de 700 bugs descubiertos en Chrome, y más de 1,250,000 dólares abonados en recompensas. Y no es la única compañía que financia las investigaciones en seguridad: hace pocos meses, reporta Information Week México, Microsoft ha expandido su programa de recompensas situando un tope de pago de cien mil dólares, que incluye fallas en Outlook, Office 365, Sharepoint, Lync, Windows.net, Microsoftonline.com y Yammer. Además, hace ya varios años que Facebook recompensa a quien revele fallos de seguridad.
Así que, si eres un estusiasta y disfrutas de buscar fallas en los sistemas que utilizas, no te pierdas este instructivo sobre cómo reportar una vulnerabilidad. ¡Tal vez sea tu chance para ganar unos cuantos miles de dólares!