Con esta iniciativa Facebook se une a Mozilla y Google que ya han hecho anuncios respecto a esta temática. Como era de esperarse, las compañías están intentando que los especialistas de seguridad informática estén de su lado a la hora de detectar vulnerabilidades en sus sistemas. Dado que, mucho atacantes aprovechan esas vulnerabilidades que son conocidas como: 0-day. Una vulnerabilidad de este tipo, es detectada por un atacante y puede ser explotada hasta que se reporte a la compañía y posteriormente se solucione. Durante ese proceso, el sistema se encuentro ampliamente vulnerable frente a cualquier exploit que aproveche esa falla.
Por eso, Google en enero de 2011, reparó 16 vulnerabilidades en su explorador Chrome y premió a uno de los investigadores con USD 3133,7 por una vulnerabilidad crítica en el manejo de un puntero.
Mozilla, por otro lado, que posee un programa de recompensas desde el año 2004, había elevado en junio del año pasado su recompensa a 3000 dólares, superando así, el monto ofrecido por Google en ese momento.
En el caso de la red social de Mark Zuckerberg, el premio para reportar un fallo de vulnerabilidad asciende a 500 dólares, lo cual es sensiblemente menor al presentado por Google y Mozilla. Facebook, no obstante, aclara que en caso de tratarse de una vulnerabilidad más específica el valor de la bonificación podría aumentar, sin especificar el valor.
Todo indica que cada vez son más las empresas que estarán realizando este tipo de actividades. Antes de estos programas las personas que reportaban vulnerabilidades no recibían ningún tipo de retorno económico por sus tareas. De hecho, existe un mercado de venta de vulnerabilidades con el cual los fabricantes de software deben competir. No se descarta, además, que las empresas busquen con estas iniciativas una buena oportunidad para cazar nuevos talentos.
De parte de los investigadores en seguridad informática ya se puede notar un cierto entusiasmo con estas iniciativas ya que permite brindar un mayor reconocimiento a aquellas personas que han invertido mucho de su tiempo y esfuerzo en detectar estos fallos. Así como también de parte de los usuarios, ya que con estas medidas pretenden aumentar el número de vulnerabilidades detectadas y, por lo tanto, la velocidad con la que se puedan solucionar las mismas.
Esperemos que estos programas de recompensas, colaboren no solo con encontrar nuevos fallos, sino también, con aumentar la calidad de las aplicaciones que son destinadas a los usuarios.
Raphael Labaca Castro
Awareness & Research Specialist
