Microsoft paga 100.000 $ a investigadores por reportar un fallo en Windows 8.1

Probablemente sea una de las cantidades pagadas más grandes de las que tenemos constancia entre todos los programas de recompensa por reporte de vulnerabilidades en software. 100.000 $ dólares no es una cantidad nada despreciable por reportar un único fallo de seguridad en la versión preview de Windows 8.1, por lo que deducimos que el agujero de seguridad era especialmente crítico.

Microsoft anunció recientemente el pago de esta recompensa en un artículo de su blog Blue Hat. El beneficiario de tal cantidad de dinero ha sido el investigador británico James Forshaw, que ya ha colaborado activamente en este programa reportando agujeros de seguridad en el navegador Internet Explorer.

“Nos gustaría felicitar a James Forshaw por haber descubierto una nueva técnica de explotación y conseguir nuestra primera recompensa de 100.000 $”, anunció Microsoft en una declaración. “Coincidiendo con este reporte, uno de nuestros brillantes ingenieros en Microsoft, Thomas Garnier, también ha encontrado una variante de esta técnica de ataque. Los ingenieros de Microsoft como Thomas están evaluando constantemente las formas de mejorar la seguridad, pero el reporte de James fue de tal calidad y tan interesante que queríamos premiarle con la recompensa de 100.000 $”.

ms_bounty

Microsoft suele pagar 11.000 $ por reportar un fallo en Internet Explorer, pero las cantidades importantes se reservan para nuevos tipos de ataques contra Windows 8.1. En una situación completamente opuesta se encuentra Yahoo!, quien fue objeto de crítica hace poco por pagar tan solo 12.50 $ como recompensa a informar de una vulnerabilidad. De hecho, esta recompensa no fue ni siquiera pagada en metálico, sino en forma de cupones para intercambiar por artículos en la tienda corporativa de Yahoo!

La extensión de estos programas de recompensa entre varias de las empresas tecnológicas más importantes tiene una explicación. Por una parte ayudan a que cada vez más investigadores informen sobre problemas en el software y estos puedan obtener dinero en metálico en compensación, algo que les anima a seguir investigando. Por otro lado, se evita parcialmente que los fallos de seguridad se vendan en mercados “alternativos” y que puedan ser adquiridos por cibercriminales o por algún gobierno o agencia gubernamental deseoso de espiar a sus ciudadanos.

Esto se ha conseguido en parte por las campañas realizadas por varios investigadores que, hartos de reportar vulnerabilidades sin obtener nada a cambio, exigieron (y lo siguen haciendo) una compensación por su trabajo, algo totalmente justo. Una de las medidas de presión más poderosas de las que disponen estos investigadores es la conocida como “full disclosure”, aplicada cuando se hacen públicos los detalles de una vulnerabilidad, muchas veces como consecuencia de la falta de respuesta por parte del fabricante ante un fallo de seguridad.

No obstante, también existe un término medio conocido como “responsible disclosure”, en el que se proporciona al fabricante información acerca de un fallo de seguridad en sus productos y un plazo de tiempo suficiente para solucionarlo antes de hacerlo público.

Por parte de los investigadores siempre es de agradecer que sus esfuerzos se vean recompensados. Los desarrolladores de software deben aprender a escuchar lo que esta comunidad tiene que decir y apreciar su ayuda, puesto que esto puede evitar males mayores en el futuro si uno de estos fallos de los que no se informa es aprovechado por ciberdelincuentes.

Josep Albors

Hoy se fallan los primeros premios nacionales a los Héroes Digitales