Para muchos expertos en seguridad, además de conocer y explorar el código que tienen entre sus garras, un gran estímulo es (obviamente) ganar algunos billetes en el proceso. Varias empresas de alto perfil poseen programas de recompensas para aquellos que encuentran errores severos y vulnerabilidades críticas en determinadas aplicaciones, y quien está a punto de subir a ese barco es nada menos que Microsoft. ¿Qué clase de conocimiento está dispuesto a remunerar Redmond? Técnicas de explotación en Windows 8.1, sugerencias de defensa, y bugs en Internet Explorer 11. En ciertos casos, las sumas tienen seis dígitos, por lo que imagino que habrá más de un interesado.
Sabemos bien que hay mucho dinero en el malware y otras técnicas con intenciones maliciosas, pero también hay dinero en la seguridad. A modo de ejemplo, Google mantiene programas de recompensas que han beneficiado a expertos en seguridad alrededor del globo. Si de alguna forma descubres una vulnerabilidad que lleva a la ejecución de código remoto en un servicio clave, Mountain View está dispuesto a pagar hasta veinte mil dólares por los detalles, y no es broma. También hemos visto reportes de vulnerabilidades en Chrome, con pagos superiores a los diez mil dólares. En lo personal considero muy positivos a estos programas. Los expertos pueden desplegar su conocimiento y obtener a cambio un estímulo económico, la empresa gana robustez, seguridad y reputación a través de sus productos, y el beneficio para el usuario final es innegable.
Ahora, quien está dispuesto a implementar su propio esquema de recompensas, es Microsoft. Con Windows 8.1 e Internet Explorer 11 en el horizonte, la intención de Redmond es mejorar la seguridad de ambos productos durante su fase de preview. En total, Microsoft presentó tres programas. El primero se concentra sobre técnicas de explotación que ataquen las protecciones integradas a Windows 8.1. En los casos más espectaculares, Microsoft podría pagar hasta cien mil dólares, aunque imagino que esa debe ser toda la suma disponible para esa participación. El segundo programa es una especie de “bono” para quien aporte ideas de defensa junto a una vulnerabilidad en Windows 8.1, con 50 mil dólares disponibles. Finalmente, el tercer programa está dedicado a vulnerabilidades en Internet Explorer 11. El período de registros para ese programa estará limitado a los primeros treinta días de la beta de IE11 (26/06 al 26/07), y Microsoft pagará hasta once mil dólares por vulnerabilidades críticas.
No me quedan dudas de que Microsoft se verá muy beneficiado por esta clase de programas. De hecho, la pregunta es por qué la empresa no implementó algo parecido antes. Con una política de parches dinámicos y actualizaciones más frecuentes, Redmond debe tapar todos los agujeros que pueda, y recurrir a la habilidad de terceros es una muy buena opción. Otro detalle importante es que Microsoft promete “pagos directos en efectivo” por los reportes. Si esto llamó tu atención, el enlace está más abajo.