En un artículo recién presentado en el blog oficial de la empresa, Google anunció que durante el año pasado, premió a 632 investigadores de 68 países diferentes con un total de 10 millones de dólares por detectar y reportar de forma responsable vulnerabilidades en sus productos y servicios. Si bien la cantidad total fue menor que en 2022 (12 millones), Google sigue apostando por la seguridad y la colaboración con la comunidad de investigadores.
Un programa en constante evolución
El Programa de Recompensas por Vulnerabilidades (VRP) de Google ha experimentado una serie de cambios significativos en 2023, adaptándose a las nuevas tecnologías y ampliando su alcance:
1. La inteligencia artificial generativa en el punto de mira: Google incluyó por primera vez modelos de lenguaje como Bard (ahora Gemini) en el VRP. Se organizó un evento de piratería específico para evaluar la seguridad de este tipo de modelos, recibiendo 35 informes y pagando más de 87,000$ en recompensas.
2. Mayor protección para Android y dispositivos propios: Se otorgaron 3.4 millones de dólares en esta categoría, con un aumento significativo del pago máximo por vulnerabilidades críticas a 15,000$. Además, Wear OS se unió al programa, premiando a los investigadores por descubrir fallos en la plataforma portátil con 70,000$ por 20 descubrimientos críticos.
3. Reconocimiento a los investigadores de Chrome: Los expertos en seguridad de Chrome recibieron 2.1 millones por 359 informes únicos, incluyendo la detección de problemas de codificación en V8 que habían pasado desapercibidos anteriormente. Se introdujo MiraclePtr en Chrome M116 para proteger contra vulnerabilidades UAF (Use-After-Free) no relacionadas con el renderizado, y se lanzó una categoría de recompensas específica para eludir este mecanismo de protección.
4. Recompensas por fallos en Nest y Fitbit: Google premió a los investigadores con 116,000$ por 50 informes sobre problemas encontrados en dispositivos Nest, Fitbit y otros dispositivos portátiles.
5. Incentivando informes de alta calidad: Google busca fomentar la detección de problemas más graves aumentando las recompensas por informes de mayor calidad.
Un compromiso con la seguridad
El Programa de Recompensas por Vulnerabilidades de Google no solo premia a los investigadores por su trabajo, sino que también fomenta la colaboración entre la empresa y la comunidad de seguridad. Esta iniciativa ha permitido identificar y corregir numerosas vulnerabilidades antes de que puedan ser explotadas por actores maliciosos, contribuyendo significativamente a la seguridad de los productos y servicios de Google.
En definitiva, el VRP de Google demuestra el fuerte compromiso de la compañía con la seguridad y la colaboración con la comunidad de investigadores para proteger a sus usuarios y garantizar la integridad de sus productos.