Os acordáis de aquellos cartelones de Western en el que la foto de un tipo, tan buen pistolero como feo, aparecía junto a un generoso ‘SE BUSCA’ y con el reclamo de una importante recompensa económica para el que lo encontrase. A día de hoy no se buscan foragidos, se buscan fallos de seguridad.
Y los premios por localizarlos siguen siendo cuantiosos. Google lanzó el programa conocido como ‘Security Rewards‘ en 2010 y hoy hemos conocido el dineral que han gastado recompensando a los investigadores que han ido dando con distintas vulnerabilidades en los servicios y plataformas del buscador.
‘Security rewards’: Seis millones desde 2010. En 2015, se pagaron dos millones
En cinco años que lleva activo este programa -2016 es el sexto curso en vigor- la multinacional ha desembolsado nada más y nada menos que seis millones de dólares. Una cantidad pequeña si la comparamos con la cuenta de resultados del gigante de Mountain View o de lo que Google gana con Android.
Sin embargo es un pellizco considerable teniendo en cuenta que muchas veces los investigadores que reciben estos premios tienen acceso a pocos recursos y han echado horas y horas en sus pruebas.
De estos seis millones, sorprende ver cómo un tercio, dos millones, corresponde a pagos correspondientes a 2015. Según cuenta la compañía, han participado en programa ‘Security Rewards’ personas de Reino Unido, Israel, Rumania, EE UU, China, Rusia, India, entre muchos otros, en el último curso. En total, esos dos millones de dólares se han distribuido en 750 vulnerabilidades descubiertas y reportadas y han ido a parar, según se desprende de los datos de Google, a un total de 300 receptores.
El fallo más tonto de Google y lo que pagó realmente por recuperar google.com
Uno de ellos ha sido Tomasz Bojarski. No dice cuánto ha cobrado ya de Google pero es sin duda el ‘cazarecompensas del año’: ha encontrado 70 vulnerabilidades. Y el colmo de los colmos: Bojarski detectó este año un fallo de seguridad en el formulario de presentación de vulnerabilidades de Google. ¡Bravo Google!
¿Un fallo de seguridad en el formulario de envío de vulnerabilidad de Google?… ¡BRAVO!
En la nómina de pagos también Sanmay Ved, el hombre que pudo comprar google.com durante un minuto en Google Domains. En un principio se le pagó 6006,13 dólares, cantidad multiplicada por cuatro cuando decidió donarlo a la caridad.
Android: 200.000 dólares en recompensas desde junio
Pero, ¿por qué se ha multiplicado por dos la cuantía del programa frente a los cursos anteriores? Android, sin duda, ha ayudado a engordar esa cuenta. Aunque no dan cifras de las vulnerabilidades que corresponden al sistema operativo móvil, lo cierto es que Android entró a formar parte del programa ‘Security Rewards’ este año. Concretamente fue en junio. Desde entonces, los fallos relacionados con Android se han traducido en recompensas por valor de 200.000 dólares. El pago más importante lo recibió un investigador que cobró 37.500 dólares tras reportar al programa un bug.
Sin embargo, no todos los pagos se producen después de localizar el fallo. Google ha establecido una especie de becas para equipos que quieren estudiar ciertas vulnerabilidades. Uno de estos, como relata la compañía, es un ruso de Kazan llamado Kamil Histamullin. A principios de 2015 recibió una subvención y gracias a su estudio dio con un fallo que permitía eliminar un vídeo de YouTube solo cambiando un parámetro de la URL. Los ingenieros de la plataforma corroboraron el fallo y Kamil recibió una paga extra de 5.000 dólares.
¿Qué os parece? ¿Creéis que la inversión ha merecido la pena?