El pago de Google a los cazadores de errores alcanza un nuevo récord



Más de 660 investigadores de 62 países recolectaron recompensas por informar errores en Chrome, Android y otras tecnologías de Google.

Google pagó 6,7 millones de dólares en recompensas el año pasado a investigadores de seguridad de todo el mundo que encontraron vulnerabilidades en Chrome, Android y otras tecnologías de Google.

La cantidad es la más alta que Google ha pagado bajo su Programa de Investigación de Vulnerabilidades (VRP) desde su lanzamiento en 2010. De hecho, el dinero de recompensa que pagó en 2020 es casi el doble de los $ 3.4 millones que pagó a los cazadores de errores en 2019.

Los investigadores que revelaron vulnerabilidades en Chrome recolectaron alrededor de un tercio ($ 2.1 millones) del dinero whole de recompensa que Google entregó el año pasado. La cantidad representó un aumento del 83% sobre lo que pagó la compañía por los descubrimientos de errores de Chrome en 2019.

Gran parte de ese aumento se debió a la decisión de Google de aumentar las recompensas para los investigadores que descubren las vulnerabilidades de Chrome. En julio de 2019, la compañía triplicó la cantidad mínima disponible bajo Chrome VRP de $ 5,000 a $ 15,000. También aumentó el premio máximo por informes de errores de alta calidad con exploits de $ 15,000 a $ 30,000.

Un aumento equivalent en las recompensas por las vulnerabilidades de Android resultó en que Google pagara alrededor de 1,74 millones de dólares a los investigadores de seguridad el año pasado. También resultó en que el equipo de VRP de Google recibiera presentaciones de hasta 13 exploits en funcionamiento contra errores de Android. Entre ellos estaba lo que Google describió el jueves como un exploit remoto con un clic dirigido a dispositivos Android recientes y otros en una versión preliminar de Android 11. Google también otorgó recompensas a los investigadores que descubrieron vulnerabilidades en algunas de sus otras tecnologías, incluidas Google Play y V8.

Además de los premios por descubrimiento de vulnerabilidades, Google también recompensó a los investigadores que informaron lo que la compañía describe como «riesgos de abuso» en sus productos. Por ejemplo, Google apunta a métodos que permitirían a alguien manipular la calificación de una lista de Google Maps enviando una cantidad suficientemente grande de reseñas falsas. Google dice que recibió el doble de informes de riesgo de abuso en 2020 que en 2019. En full, los informes ayudaron a la compañía a identificar más de 100 problemas potencialmente abusivos en 60 de sus productos en 2020.

Un overall de 662 investigadores de 62 países recibieron recompensas por errores de Google en 2020. El premio más alto por un solo error el año pasado fue de $ 132,500.

Creciente popularidad
El VRP de Google es related a otros programas de búsqueda de errores de colaboración abierta lanzados en los últimos años por muchas otras empresas o gestionados por organizaciones como Bugcrowd y HackerOne. Muchos creen que estos programas ofrecen a las organizaciones una forma relativamente rentable de descubrir problemas de seguridad en sus productos y servicios que de otro modo podrían haberse perdido.

A los expertos en seguridad también les gusta el hecho de que los programas de recompensas por errores como el VRP de Google ofrecen una vía legítima para que los cazadores de errores moneticen sus esfuerzos. Creen que las recompensas considerables que a veces están disponibles en estos programas son un incentivo suficiente para que los cazadores de errores informen de manera responsable los descubrimientos de errores en lugar de intentar vender la información a terceros.

Una lista que HackerOne publicó el año pasado del los mejores programas de recompensas por errores en su plataforma mostró que muchas grandes empresas se están beneficiando de estos programas. Entre febrero de 2014 y cuando HackerOne publicó su lista en junio de 2020, Verizon, por ejemplo, había pagado más de $ 9,4 millones en recompensas a los investigadores de seguridad y resolvió más de 5200 informes que había recibido de ellos.

Además, en menos de dos años en el programa HackerOne, PayPal pagó casi $ 2.8 millones en recompensas por errores y resolvió 755 informes. Y Uber, durante un período de cinco años, resolvió 1,466 informes que recibió de investigadores de vulnerabilidades y pagó 2,1 millones de dólares por ellos. Otras empresas en la lista de programas de recompensas de errores principales de HackerOne incluyen Intel, Twitter y GitLab.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first