Google te pagará hasta 30.000 dólares por detectar bugs: esto es lo que tienes que buscar

Google ha expandido su VRP a sus proyectos de código abierto y entregará sustanciosas recompensas a quienes sean capaces de encontrar agujeros de seguridad en ellos.

Google te pagará hasta 30.000 dólares por detectar bugs: esto es lo que tienes que buscar

No es raro oír hablar de la generosidad de Google cuando se trata de premiar a quienes encuentran agujeros en su seguridad. Sin ir más lejos, a lo largo de 2021 la Gran G entregó casi 9 millones de dólares en recompensas a quienes participan en su programa de caza de bugs.

Bajo la premisa de que es mejor gastar dinero en mitigar un problema, que arreglarlos después de que alguien lo explote con malas intenciones, la empresa de Mountain View ha anunciado que expande su programa de recompensas o VRP a sus proyectos de código abierto.

Aumentan los ataques a través de productos opensource

Google incluye en su programa de caza de bugs a sus proyectos opensource

Google incluye en su programa de caza de bugs a sus proyectos opensource

Según se recoge en Android Police, Google ha decidido empezar este nuevo programa debido a que los hackers están empezando a ver los productos de código abierto como vehículos para realizar ataques informáticos. La empresa señala que ha habido un aumento del 650% en 2021 con respecto a 2020.

Estos ataques se habrían centrado en software de código abierto usado por distintas tecnológicas y, evidentemente, Google quiere reducir las posibilidades de verse afectada. Y precisamente por eso estamos hablando de la expansión del VRP a sus proyectos opensource.

Hasta 30.000 dólares por descubrir una vulnerabilidad

Lógicamente, las recompensas más altas se entregarán a quienes encuentren vulnerabilidades en los proyectos más importantes y sensibles. Es el caso de Google Fuchsia, el sistema operativo orientado a voz que, dicen, está llamado a sustituir a Android. Los premios irán de los 100 a los 31.337 dólares, dependiendo de la severidad del posible ataque.

Si te interesa participar, debes tener en cuenta que hay una serie de reglas que Google ha publicado en su web de cazadores de bugs que tendrás que seguir. Te dejamos a continuación qué errores debes buscar para que puedan entrar en el programa para entrar en el programa de recompensas de Google:

  • Vulnerabilidades en la cadena de suministros. Aquí entra todo lo relacionado con corrupción de repositorios, artefactos que se distribuyen a los usuarios y compromiso de claves criptográficas de firma.
  • Vulnerabilidades de producto. En este punto entran todas las vulnerabilidades que puedan afectar a los datos de usuario de personas que utilicen los servicios de Google.
  • Otros problemas de seguridad. Aquí se engloban todas las vulnerabilidades que no tengan que ver con aspectos técnicos (como las arriba mencionadas). Un ejemplo sería el hacer un uso inseguro de un software que pueda comprometer la seguridad de los desarrolladores vinculados a un proyecto.

Aprovechamos para recordar que el VRP de Google es una parte integral de la estrategia de seguridad de la empresa. Las recompensas entregadas se han ido incrementando con los años y, como se ha podido comprobar, los de Mountain View pagan una buena cantidad de dinero a quienes trabajan para descubrir vulnerabilidades en sus productos.

Queremos saber tu opinión. ¡Comenta!
Para ti