Google recompensó con 2,9 millones de dólares a los cazadores de vulnerabilidades en 2017

Desde hace varios años, Google suele ofrecer recompensas por encontrar vulnerabilidades en algunos de sus productos. Aparte de las que entrega de manera aislada por un asunto concreto, como los 50.000 dólares que ofreció en 2015 por encontrar vulnerabilidades en App Cloud Engine, la compañía tiene en marcha un programa que ofrece recompensas económicas a los que encuentran bugs en sus productos y les informa de ellos. En concreto, desde noviembre de 2010. Desde entonces, la comunidad de investigadores de seguridad ha recibido cerca de 12 millones de dólares. Y según confirman desde Google en su blog de seguridad, el pasado año 2017 pagó en total 2,9 millones de dólares a personas y organizaciones que descubrieron fallos en sus productos y se los notificaron.

En concreto, la compañía pagó dicha cantidad por 274 investigaciones. Una de ellas recibió la recompensa más elevada abonada por Google por un único informe hasta ahora: 112.500 dólares. Esta recompensa se pagó a un investigador llamado Guang Gong experto en seguridad que informó de una cadena de exploit que podía utilizarse para poner en peligro los smartphones Pixel de Google.

La mayoría del dinero abonado en 2017 por el descubrimiento de vulnerabilidades se abonó a cambio de informes sobre fallos en Google y Android: 1,1 millones de dólares por los fallos descubiertos en cada producto. El resto de lo pagado por Google en este programa el año pasado se fue a los descubridores de errores en el navegador Chrome.

Google recompensó en 2017 a los investigadores que informaron de vulnerabilidades en sus productos con 2,9 millones de dólares.

Entre los fallos de seguridad localizados este pasado año, Google ha destacado dos aparte del que recibió la recompensa más elevada. El primero, descubierto por un investigador que se hace llamar gzobqq, ganó el premio denominado pwnium por informar sobre una cadena de bugs en cinco componentes que permitía la ejecución de código en remoto en Chrome OS cuando el sistema se encontraba en modo invitado. Se llevó 100.000 dólares por su hallazgo. El segundo, descubierto por Alex Birsan, implicaba que cualquiera podría tener acceso a los datos de Seguimiento de problemas de Google. Recibió 15.600 dólares como recompensa.

Aparte de estos pagos, Google entregó 125.000 dólares a más de 50 investigadores de seguridad de todo el mundo a través de su Programa de becas de investigación de vulnerabilidades. Y otros 50.000 por las contribuciones a la mejora del software de código abierto, a través de su Programa de recompensas de parches. La empresa ha comentado también que, de cara a 2018, su programa de recompensas ofrecerá varias mejoras. Así, el descubrimiento de vulnerabilidades relacionadas con ejecuciones de código en remoto se recompensará con 5.000 dólares cada una, en lugar de con 1.000 como hasta ahora.

Asimismo, habrá una nueva categoría de recompensas. Serán las relacionadas con fallos que podrían derivar en el robo de datos privados de usuarios y en el transporte de información sin cifrar. También en bugs que deriven en el acceso a componentes protegidos de apps. La recompensa por descubrir e informar de cada fallo que pertenezca a esta categoría será de 1.000 dólares.