¿Qué es una recompensa por errores?

Probablemente hayas oído hablar de las recompensas por errores, pero no sabes qué son. Aquí, para ayudar a aclarar la confusión, hemos creado esta guía que detalla todo lo que necesita saber sobre los programas de recompensas por errores.

¿Qué es una recompensa por errores?

Una recompensa por errores de seguridad es un tipo de programa de recompensas para desarrolladores de software. Los proveedores de software y los piratas informáticos individuales se unen para encontrar errores en las aplicaciones de software antes de hacerlos públicos. Cada recompensa por error es ligeramente diferente, pero todas tienen reglas establecidas que deben seguirse. A menudo se alienta a los fanáticos a ayudar, pero es importante seguir estas reglas y la política de divulgación responsable de cada programa.

¿Cuánto vale una recompensa por errores?

Esto varía según la compañía y el producto, pero generalmente la cantidad más baja que encontrará será de alrededor de $100. Solo un puñado de empresas ofrece alrededor de $ 1 millón, aunque la mayoría de las grandes empresas tienen un programa con una oferta de $ 100,000.

Recompensa de errores de Microsoft

La mejor oferta de Microsoft es de $ 300,000 para informes de vulnerabilidad en los servicios en la nube de Microsoft Azure. La compañía también pagará $100,000 si encuentra vulnerabilidades en sus servicios de identidad y hasta $250,000 por problemas de seguridad encontrados en Microsoft Hyper V.

Las vulnerabilidades encontradas en otros servicios de Microsoft generalmente le generarán entre $ 15,000 y $ 30,000. Los problemas de seguridad encontrados en Xbox pueden generarle $ 20,000, mientras que los problemas encontrados en la versión de Microsoft Edge basada en Chromium pueden generarle hasta $ 30,000.

Recompensa de errores de Apple

Apple tiene una de las mayores ofertas de recompensas por errores que existen. La compañía le dará $ 1 millón si logra encontrar una vulnerabilidad que le permita a alguien piratear una red sin ninguna interacción del usuario. En las propias palabras de la compañía, se trata de una «ejecución de código del kernel sin clics con persistencia y omisión del PAC del kernel».

El pago más pequeño que figura en el sitio actual de Apple es de $ 100,000, que pagará si logra encontrar vulnerabilidades en iCloud, omitir una pantalla de bloqueo o encontrar una forma de acceder a datos confidenciales sin permiso a través de una aplicación instalada.

Recompensa de errores de Google

Google ofrece muchas recompensas en su amplia gama de productos.

Para las vulnerabilidades encontradas en las propiedades web de Google, las recompensas oscilan entre $ 100 y $ 5,000. Los pagos por las vulnerabilidades de Chrome son un poco más altos, oscilando entre $ 500 y $ 30 000, mientras que los problemas de seguridad encontrados en Google Play serán recompensados ​​entre $ 500 y $ 20 000.

Pero el dinero real está en la recompensa por errores de los productos Android en Pixel. Este programa paga hasta $ 1 millón, según el exploit descubierto. El gran premio se paga a cualquiera que sea capaz de hackear el chip Pixel Titan M.

Además de lo anterior, hay algunas subvenciones disponibles a través de Google. Estos están dirigidos a investigadores de vulnerabilidad ya establecidos y van desde $ 1337 a $ 3133. También hay pagos disponibles de hasta $ 20,000 para soluciones propuestas en ciertos proyectos de código abierto.

Recompensa de errores de Facebook

Facebook no tiene un límite superior sobre lo que pagará en recompensas por errores, sino que tiene un cálculo de vulnerabilidad que considera «impacto, facilidad de explotación y calidad del informe».

En resumen, la empresa decide el valor de su vulnerabilidad recién descubierta. La cantidad mínima recompensada es de $500, pero una persona ya recibió $50,000 por su trabajo.

El programa Bug Bounty incluye todos los productos de Facebook, por lo que puede usar el mismo portal para enviar problemas relacionados con Instagram.

Recompensa de errores de HackerOne

HackerOne es una mezcla entre plataforma y colectivo. Proporciona un portal para las grandes empresas tecnológicas y los piratas informáticos, lo que permite a las primeras anunciar las recompensas monetarias que pueden ofrecer y a los segundos enviar informes de vulnerabilidad.

Tiene un buen directorio de recompensas de errores actuales, que ofrecen entre $ 100 y $ 2,000 por vulnerabilidades.

También alberga algo llamado Internet Bug Bounty, que pagará si logra encontrar un agujero de seguridad en el software que admite la pila de Internet. Por ejemplo, encontrar un problema con el popular lenguaje de programación Python podría generarle $ 500 en dinero para gastos.

Deja un comentario