Cómo recibir recompensas de Google si se advierten fallas en sus servicios

Muchos de los investigadores también pueden acceder a becas

Guardar
Existen diferentes programas para fomentar la seguridad en los productos de Google
Existen diferentes programas para fomentar la seguridad en los productos de Google

Google tiene una iniciativa que busca mejorar la seguridad de sus servicios con ayuda de la comunidad. Se trata del Programas de Recompensas de Vulnerabilidades (VRP, por sus siglas en inglés), que invita a investigadores de seguridad a reportar errores en sus sistemas, con el objetivo de hacerlos más seguros.

La compañía les paga a estos especialistas por el tiempo y esfuerzo que dedican en esta tarea.

Recientemente la empresa informó que se invirtió un récord de 8.700.000 dólares. La cifra representa un salto importante respecto a los 6,7 millones de dólares invertidos el año pasado.

A su vez, la compañía mencionó en su blog que los investigadores premiados donaron más de 300.000 dólares de sus recompensas a organizaciones benéficas de su elección.

Qué tipo de incidentes se pueden reportar y cómo informarlos

En principio, cualquier servicio web de propiedad de Google o de una subsidiaria de Alphabet (Bet) que maneje datos de usuario razonablemente sensibles está dentro del alcance del programa VRP.

Esto incluye errores en Google Cloud Platform, aplicaciones y extensiones desarrolladas por Google y Verily Life Sciences (publicadas en Google Play, en Apple App Store o en Chrome Web Store), así como en algunos de los dispositivos de hardware de la compañía como Home, OnHub o Nest, entre otros. Quienes encuentren errores y quieran reportarlos deben ingresar en este formulario.

Vulnerabilidades dentro de Android

Dentro del programa para reportar vulnerabilidades se encuentra uno destinado a reportar errores dentro del ecosistema Android, uno de los más populares e interesantes ya que el sistema operativo móvil es de los más utilizados en el mundo.

Aquí hay recompensas que llegan hasta el millón de dólares, como aquellas vulnerabilidades vinculadas con ejecución de código en los Pixel Titan M.

Los montos de recompensa varían según la gravedad del error, así como el tipo de reporte que se presente al identificarlos.

Los valores más altos se pagan para los informes completos que incluyen una prueba de concepto de alta calidad que se reproduce en una versión reciente de Android. Para reportar incidentes dentro del ecosistema Android así como obtener más detalles técnicos al respecto se debe ingresar aquí.

Cabe señalar que según el último comunicado publicado por Google, en Android se duplicaron los gastos totales en 2021: se abonó casi 3 millones de dólares en recompensas, cuyo pago más alto fue de 157.000 dólares -el más grande de su historia- a unos investigadores que advirtieron la cadena de explotación crítica CVE-2021-39698.

El año pasado, la empresa lanzó Google Bug Hunting Community, un portal de investigación público  (foto: RPA Amatech Group)
El año pasado, la empresa lanzó Google Bug Hunting Community, un portal de investigación público (foto: RPA Amatech Group)

Programa de becas

Por otra parte, los investigadores también pueden formar parte del programa experimental de subvenciones para la investigación de vulnerabilidades, un sistema de becas destinado a aquellos que deseen analizar detalladamente la seguridad de sus productos y servicios. Para anotarse en este programa hay que ingresar aquí.

Los montos de las subvenciones van desde USD 500 hasta USD 3.133.7, según el tipo de incidente que se reporte. Seis años después del lanzamiento de esta iniciativa, Google aseguró que en 2021 otorgó más de 200.000 dólares en ayudas destinadas a más de 120 investigadores de seguridad en todo el mundo.

Recompensas de seguridad de chipset de Android

Asimismo, destacó de que en 2021 se lanzó un Programa de recompensas de seguridad de chipset de Android (ACSRP), un programa de recompensa por vulnerabilidad ofrecido por Google en colaboración con los fabricantes de estos componentes desarrollados por Android.

Se trata de un proyecto privado al que los interesados solo pueden unirse por invitación. En total, el ACSRP pagó más de 296.000 dólares por más de 220 informes de seguridad válidos a estos investigadores.

Por su parte, Chrome VRP también ha registrado cifras récord, ya que 115 investigadores de este programa de vulnerabilidades fueron recompensados por 333 informes únicos de errores de seguridad.

Big Hunting Community

El año pasado, la empresa lanzó Google Bug Hunting Community, un portal de investigación público destinado a mantener los productos de Google (Android, Chrome y Google Play) e Internet seguros y protegidos.

Se trata de una plataforma que abierta con un único formulario de seguridad que permite a los usuarios e investigadores reportar errores de seguridad y ofrece oportunidades de interactivas a través de juegos y tablas de clasificación por país, entre otros. Para ser parte de este programa hay que ingresar aquí.

Aquellos interesados en reforzar su aprendizaje en este aspecto, pueden acceder al contenido disponible Bughunter University, espacio donde se incluyen recomendaciones y trucos para detectar estos problemas.

SEGUIR LEYENDO:

Guardar