Cazadores de bugs: ¿por qué pagar a los hackers para encontrar fallas de seguridad?
¿Le pagaría a un ladrón por entrar en su propia casa? La mayoría de gente inteligente probablemente diría que no, pero las compañías de tecnología más listas dicen sí cada vez más. Empresas como Google ofrecen recompensas significativas a hackers que puedan encontrar maneras de penetrar sus programas.
Estas compañías suelen pagar miles de dólares por descubrir un solo bug, lo suficiente para lograr que la cacería de bugs se convierta en un ingreso considerable. Y otro nivel, más amplio, el hacker que encuentre la mejor manera de proteger a las aplicaciones de Windows de vulnerabilidades, está en camino a llevarse $200.000 de Microsoft en su concurso BlueHat Prize.
Las empresas involucradas dicen que los programas de recompensas hacen sus productos más seguros. “Obtenemos más reportes de bugs, lo que significa que conseguimos más mejoras, lo que a su vez conlleva a una mejor experiencia para nuestros usuarios”, dice Adam Mein, gerente de seguridad de programas responsable de la división de Aplicaciones Web del Vulnerability Reward Program de Google. “También desarrollamos relaciones positivas con los investigadores que encuentran dichos bugs.”
Pero el programa no está libre de controversia. Algunas compañías, la más notoria Microsoft, creen que las recompensas sólo deberían usarse para atrapar a los villanos, no para animar a la gente a encontrar defectos. Y luego está el asunto del doble lucro: la posibilidad de que un hacker pueda cobrar un premio por descubrir una vulnerabilidad, y luego vender la información sobre cómo explotarla a compradores maliciosos.
Estas compañías suelen pagar miles de dólares por descubrir un solo bug, lo suficiente para lograr que la cacería de bugs se convierta en un ingreso considerable. Y otro nivel, más amplio, el hacker que encuentre la mejor manera de proteger a las aplicaciones de Windows de vulnerabilidades, está en camino a llevarse $200.000 de Microsoft en su concurso BlueHat Prize.
Las empresas involucradas dicen que los programas de recompensas hacen sus productos más seguros. “Obtenemos más reportes de bugs, lo que significa que conseguimos más mejoras, lo que a su vez conlleva a una mejor experiencia para nuestros usuarios”, dice Adam Mein, gerente de seguridad de programas responsable de la división de Aplicaciones Web del Vulnerability Reward Program de Google. “También desarrollamos relaciones positivas con los investigadores que encuentran dichos bugs.”
Pero el programa no está libre de controversia. Algunas compañías, la más notoria Microsoft, creen que las recompensas sólo deberían usarse para atrapar a los villanos, no para animar a la gente a encontrar defectos. Y luego está el asunto del doble lucro: la posibilidad de que un hacker pueda cobrar un premio por descubrir una vulnerabilidad, y luego vender la información sobre cómo explotarla a compradores maliciosos.
0 comentarios :
Publicar un comentario