En pos de seguir corrigiendo fallas y mejorando los niveles de seguridad de sus sistemas y productos, Google pagará por posibles bugs a pesar de que no hayan sido comprobados, como parte del programa Vulnerability Research Grants.

El objetivo es complementar el ya existente Vulnerability Reward Program, para recompensar a los investigadores que dedican tiempo a revisar la seguridad de los productos y servicios de Google "incluso en el caso de que no se hallen vulnerabilidades", tal como indica la compañía en un comunicado.

El programa está dirigido a nuestro mejor desempeño, investigadores frecuentes y expertos invitados, y esperamos que nos permita recompensar el tiempo de los investigadores de seguridad y su atención incluyendo las situaciones en las que no encuentren vulnerabilidades. Si, como resultado de la subvención, se encuentra una vulnerabilidad, también será elegible para una recompensa de nuestro Vulnerability Reward Program.

De esta forma, los expertos podrán aplicar a un máximo de 3133.70 dólares, y los proporcionales se entregarán inmediatamente cuando empiece una investigación, independientemente de cómo resulte. La idea de la iniciativa es contrarrestar la presencia de bugs en productos importantes que puedan tener consecuencias graves, y de aquellas fallas recurrentes en otros tipos de productos.

Esta es la lista de premios según categorías:

  • Servicios y funcionalidades recientemente lanzados: entre 500 y 3,133.7 dólares. Si bien el equipo de seguridad de producto de Google revisa los nuevos productos antes de su lanzamiento, la compañía deja la puerta abierta a un escrutinio externo.
  • Investigación de seguridad de productos sensibles: entre 1,337 y 3,133.7  dólares. Esta categoría marca como "sensibles" a productos como Google Search, Google Wallet, Google Mail, Chrome Web Store, Google Play Google Admin, entre otros, que están alojados en orígenes HTTP sensibles o manejan información particularmente sensible.
  • Investigación para mejorar la eficacia de la seguridad: entre 1,337 y 3,133.7 dólares, por revisar vulnerabilidades recientemente corregidas.

Asimismo, existe la posibilidad de que los acreedores de las recompensas decidan abstenerse y donar el dinero a obras de caridad, en cuyo caso Google redoblaría la suma.

Eduardo Vela Nava, Security Engineer de Google, comentó en un post que durante 2014 se abonaron recompensas por más de 500 bugs reportados, resultando en el pago de más de 1,500,000 dólares a más de 200 investigadores. La recompensa más alta fue de 150 mil dólares, a un investigador que se unió a Google para formar parte de Project Zero.

Vulnerability Research Grants busca recompensar la investigación de seguridad en si misma, en vez de la mera identificación de vulnerabilidades específicas, por lo que se presenta como un valioso incentivo al trabajo de los investigadores en busca de mejorar las condiciones de los sistemas, tarea que cada vez se complejiza más. El año pasado, Google había anunciado que pagaría 15 mil dólares por reportes de bugs en Chrome.

Así que, si disfrutas de buscar fallas en los sistemas que utilizas, no te pierdas este instructivo sobre cómo reportar una vulnerabilidad. Tal vez sea tu chance para ganar unos cuantos dólares.