Google dio 2,9 millones de dólares en recompensas durante el año 2017

Google ofrece desde hace años recompensas por encontrar vulnerabilidades en algunos de sus productos. Habiendo comenzado el programa en noviembre de 2010, la compañía ha reconocido que ha pagado en todo el tiempo transcurrido casi 12 millones de dólares a investigadores en seguridad, de los cuales 2,9 millones corresponden al año 2017, según lo que mostró el día de ayer.

Google pagó el año pasado a un total de 274 investigadores, con uno de ellos, Guang Gong, llevándose 112.500 dólares por reportar una cadena de exploits que podía ser usada para comprometer los conocidos dispositivos Pixel, que sucedieron a los Nexus como los oficiales del gigante de Mountain View y en consecuencia suelen ser los primeros en recibir las últimas actualizaciones para Android. El buscador y el mencionado sistema operativo generaron cada uno 1,1 millones de dólares en recompensas, mientras que el navegador web, Chrome, generó el resto de cuantía total dada en 2017.

Otra de las vulnerabilidades destacadas de 2017 fue una descubierta por un investigador que actúa bajo el pseudónimo de gzobqq, quien recibió una recompensa de 100.000 dólares por una cadena de fallos a través cinco componentes que abría la puerta a la ejecución de código en remoto sobre Chrome OS, el sistema operativo de Google para el escritorio. Por su parte, Alex Birsan descubrió que cualquiera podía tener acceso a los datos internos de Google Issue Tracker (el mecanismo de seguimiento de problemas), algo por lo cual fue recompensando con 15.600 dólares.

Mediante su Programa de Becas de Investigación de Vulnerabilidades, el gigante del buscador dio 125.000 dólares a 50 investigadores en seguridad de todo el mundo, mientras que dio otros 50.000 dólares para mejorar la seguridad del software Open Source como parte de su Programa de Recompensas por Parches. Descubrir problemas de seguridad que afectan a Android se ha convertido en algo prioritario desde hace años para Google, por eso recompensó con entre 1.000 y 5.000 dólares a los que descubrieron ejecuciones de código en remoto en aplicaciones alojadas en la Play Store.

Aunque la cuantía total pagada en 2017 puede parecer elevada, la realidad es que resulta ligeramente inferior a la del año pasado, cuando Google pagó en total 3 millones de dólares. Por otro lado, la compañía ha anunciado para el presente año una nueva categoría con recompensas de 1.000 dólares que abarca las vulnerabilidades que podrían terminar en el robo de datos privados del usuario, información transmitida sin cifrar o fallos que deriven en el acceso a componentes protegidos de las aplicaciones.

Fuente: MuyComputerPRO