La histórica fabricante de vehículos General Motors (GM) acaba de abrir su propio programa de recompensas para investigadores que reporten vulnerabilidades en sus productos y servicios. Los lineamientos son rigurosos y la compañía se compromete a no "presentar demandas" contra quienes envíen hallazgos, siempre y cuando cumplan las condiciones.

Lo que se espera de los investigadores es que no dañen a GM ni a sus clientes ni comprometan su seguridad y privacidad, que no violen la ley y provean los detalles técnicos de las vulnerabilidades sin explotarlas y, por supuesto, que las hagan públicas solo cuando la compañía haya confirmado que las remedió - de lo contrario, estaría ante un 0-day. Curiosamente, quienes quieran aplicar no podrán encontrarse en Cuba, Irán, Corea del Norte, Sudán, Siria o Crimea.

El programa es abierto, por lo que cualquiera que lo desee puede enviar un reporte. Hasta el momento, pasados unos pocos días desde su apertura, no hay reportes cerrados. Está basado en la plataforma de HackerOne, misma que utilizan muchas otras compañías para administrar sus programas de recompensa - entre ellas, Yahoo, Twitter, Snapchat, Adobe, Dropbox y Vimeo.

Y si bien los montos de las recompensas no fueron revelados todavía, la mera existencia del programa es algo para celebrar ya que incentiva el trabajo y valora el esfuerzo de los investigadores y hackers "de sombrero blanco" que buscan mejorar la estructura de los sistemas aplicaciones que evalúan. General Motors sigue con esta iniciativa los pasos de varias compañías que implementaron programas de caza de bugs, como Dropbox, United Airlines (que utiliza millas en vez de dinero como premio) y hasta The Tor Project.

"Si tienes información relacionada a vulnerabilidades de seguridad de productos y servicios General Motors, queremos escucharte. Valoramos el impacto positivo de tu trabajo y te agradecemos por adelantado tu contribución", invita General Motors.

Si quieres participar, aprende cómo reportar una vulnerabilidad.