Google pagó más de 6,5 millones en recompensas por detectar vulnerabilidades
- Vulnerabilidades
Un total de 461 investigadores de 62 países fueron recompensados por reportar fallos de seguridad a lo largo de 2019. Las cantidades más elevadas fueron de 161.337 dólares desde Android y de 40.000 dólares desde Chrome por informar de una misma cadena de exploits.
2019 ha sido otro año récord para el programa de Recompensa de Detección de Vulnerabilidades (VRP) de Google, ya que la cuantía de las recompensas ha rebasado los 6,5 millones de dólares, más del doble de lo que jamás había otorgado en un solo año.
|
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
Desde 2010, Google ha ampliado sus VRPs para incluir nuevas áreas de productos de Google, como Chrome, Android y, más recientemente, Abuse. También se ha expandido para cubrir aplicaciones populares de terceros en Google Play, con el fin de identificar sus posibles vulnerabilidades e informar a los desarrolladores de las aplicaciones afectadas. Desde entonces, ha abonado 15 millones de dólares en recompensas.
Durante 2019, las recompensas del VRP de Chrome se han incrementado, triplicándose el monto máximo de referencia de 5.000 a 15.000 dólares, y duplicándose el monto máximo de recompensas para informes de alta calidad (de 15.000 a 30.000 dólares). La prima adicional por los fallos detectados por los fuzzers en el ámbito del Programa Chrome Fuzzer también se ha duplicado, alcanzando los 1.000 dólares.
Las recompensas de Android han incorporado nuevas categorías de exploits y mayores recompensas. El premio más elevado ha sido de 1 millón de dólares por un exploit de ejecución de código remoto de cadena completa con persistencia, que compromete el elemento seguro Titan M en dispositivos Pixel. Y si se consigue ese exploit en versiones de vista previa de Android específicas para desarrolladores, añade un plus del 50%, lo que incrementa el primer premio a 1,5 millones.
Por su parte, los Premios de Seguridad de Google Play se han ampliado a cualquier aplicación que tenga más de 100 millones de instalaciones y ha alcanzado un importe de más de 650.000 dólares concedidos en el segundo semestre de 2019.
“Nuestro Programa de Recompensa de Detección de Vulnerabilidades (VRP) se creó para recompensar a los investigadores por proteger a los usuarios informándonos de los fallos de seguridad detectados. Sus hallazgos ayudan a salvaguardar la seguridad de nuestros usuarios y de Internet en general. Esperamos una colaboración aún mayor en 2020 y en los años futuros”, señalan desde la compañía.
