Google ha anunciado hoy el lanzamiento de Android Security Rewards, programa gracias al cual los investigadores que reporten vulnerabilidades en Android, su plataforma móvil, recibirán un pago por su esfuerzo y dedicación. De esta forma, se extiende la existente propuesta, que ofrece recompensas a quienes alerten sobre fallas en sus servicios web como Search, Wallet, Mail o Chrome.
"Desde 2010, nuestros programas de recompensas de seguridad han ayudado a que los productos de Google sean más seguros para todos. El año pasado, pagamos más de 1,5 millones de dólares a investigadores de seguridad que encontraron vulnerabilidades en Chrome y otros productos de Google. Hoy, estamos expandiendo nuestro programa para incluir a los investigadores que encuentren, soluciones y prevengan vulnerabilidades en Android, específicamente", dice el anuncio de Google.
Es importante que exitan iniciativas como esta, para alentar el trabajo y premiar la dedicación de quienes buscan exponer las falencias de seguridad de los sistemas y servicios que día a día usan millones de usuarios en todo el mundo. Esta motivación, además, contribuye a que las vulnerabilidades encontradas se reporten al proveedor correspondiente, en tiempo y forma, para que pueda ocuparse de resolverlas y ofrecer los parches y soluciones correspondientes, de manera que los usuarios cuenten con versiones actualizadas que cierren la puerta a la explotación de las fallas.
Google afirma que por vulnerabilidades en dispositivos móviles Nexus en venta en Google Play (actualmente Nexus 6 y Nexus 9), pagará por cada paso necesario para solucionar un bug, incluyendo la elaboración de parches y evaluaciones. "Esto hace a Nexus la primera línea de dispositivos móviles en ofrecer un programa de recompensa por vulnerabilidades en curso", anuncia. Con esto, hace énfasis en la expectativa de que se dedique tiempo en evaluar y corregir la plataforma, lo que hará "más fuerte al ecosistema entero".
Los premios mayores irán para los investigadores que demuestren cómo mejorar las funcionalidades de seguridad de Android, como ASLR, NX y el sandboxing que está diseñado para prevenir la explotación y proteger a los usuarios.
La compañía ya había anunciado este año que pagaría recompensas también por bugs no comprobados en sus sistemas, es decir, aún si se evalúa un reporte y se comprueba que no se trataba de una vulnerabildad. Al mismo tiempo, otras empresas como Dropbox y Facebook ofrecen premios para quienes los alerten sobre agujeros de seguridad en sus productos.
Como decíamos, es necesario reportar las vulnerabilidades antes de que alguien con malas intenciones pueda tomar provecho de ellas. Esta actividad tiene un rol muy importante en la seguridad; después de todo, "cuanta más investigación de seguridad esté enfocada en Android, más fuerte se volverá", concluye Google.
Sigue leyendo: ¿Cómo reportar una vulnerabilidad?