La seguridad informática normalmente suele ser un área muy lucrativa, y la razón de ella es que dejar agujeros de seguridad sin arreglar puede tener un impacto crítico que cause aún más daños. A causa de ello, trabajar de forma independiente solucionando problemas de seguridad suele ser una profesión muy interesante.
Normalmente las grandes empresas suelen ofrecer programas de recompensas para quien descubra problemas de seguridad, y Google no es una excepción. La gran G tiene una web dedicada a incentivar a aquellos que estén dispuestos a informar de estos problemas, ofreciendo una gran suma monetaria según la gravedad y la información que aportemos.
Cuanto paga Google por descubrir agujeros de seguridad
Recientemente Google ha actualizado su página de recompensas de seguridad. Esta página ofrece toda la información necesaria para aquellos que quieran ganarse una buena suma de dinero mientras que ayudan a que Android en general (y los Pixel en particular) sean dispositivos más seguros.
La razón por la que Google paga tan bien (aunque esto es aplicable a cualquier otra compañía) se debe a que estos sistemas se encuentran a un gran nivel en términos de seguridad, por lo que encontrar algún defecto en este es muy complicado.
También es importante tener en cuenta la gravedad de la situación si alguien consigue acceder una zona de nuestro móvil a la que no debería. Ni Android ni ningún otro sistema operativo se lo puede permitir.
Qué categorías tiene Google
No todos los problemas de seguridad tienen el mismo impacto, razón por las que las recompensas pueden variar mucho. Google detalla cuanto paga por cada tipo de problema.
Por un lado están las ejecuciones arbitrarias de código un tipo de error en el que el atacante tiene la capacidad de inyectar código propio de forma remota. Este tipo de ejecuciones de código varían desde los 100.000 dólares hasta el propio millón de dólares. Esta máxima recompensa se da para quien consiga saltarse la seguridad del chip de seguridad Titan M, presente en los Pixel 3, 3a y 4.
Y es precisamente el chip de seguridad Titan M el que ostenta la segunda posición en recompensas, para aquellos que logren descubrir algún problema que permita filtrar datos de alto valor protegidos por el chip de seguridad de Google.
¿Significa que podría ganar un millón de dólares por casualidad?
Ante este tipo de temas, en más de una ocasión alguien nos ha contado que con facilidad había encontrado un problema de seguridad en su móvil que le permitía saltarse la pantalla de bloqueo. ¿Significa entonces que si estoy en casa y encuentro una forma de saltármelo Google me pagará 100.000 dólares?
No, y es que como la propia Google detalla, la cantidad del pago no depende únicamente del error que hayamos encontrado, sino de la información extra que podamos aportar. Por ejemplo, indican que reportando un problema real pero con un reporte de baja calidad podrían pagarnos tan solo 200 dólares. Una cifra que tampoco está mal si la descubres por accidente.
Si quieres ganar mucho dinero, no basta con descubrir un problema, sino que tendrás que aportar información para arreglarlo o proponer tu mismo la solución.
Para poder acceder a las mejores recompensas es necesario aportar toda la información posible, especificando con el máximo detalle cómo reproducir el problema, y toda información que sea relevante para solucionarlo. Si además eres experto en seguridad, presentar un parche que lo solucione es esencial para recibir la mayor cantidad de dinero posible.