Cómo ganar 10 millones de dólares descubriendo vulnerabilidades para Google
Sólo en 2023, Google pagó más de 10 millones de dólares en recompensas a sus 632 investigadores y 'Bug Hunters'.
No es ningún secreto. Cualquier servicio en Internet está expuesto a problemas y fallas de seguridad, algunas más importantes que otras, pero todas ellas peligrosas para los usuarios por sus implicaciones en cuanto a privacidad, robo de datos, suplantación e incluso estafas. Quizás por ello, y porque sus equipos de ciberseguridad no llegan a todo, Google y otros gigantes disponen de programas de Bug Hunters que se encargan de detectar y reportar vulnerabilidades a cambio de una recompensa, en el caso de Google bastante suculenta.
No en vano, sólo en 2022 el gigante de Mountain View repartió unos 12 millones de dólares entre los hackers éticos apuntados a su programa, mientras que en 2023 las cifras no son tan elevadas pero no se quedan demasiado lejos: el Programa de Recompensas por Vulnerabilidades (VRP) de Google repartió más de 10 millones de dólares a 632 investigadores de todo el mundo.
Tal y como publicaban los compañeros de Bleeping Computer, las cifras del pasado año 2023 bajan sensiblemente después de marcar un nuevo récord en 2022 con esos más de 12 millones de dólares, aunque alcanzar de nuevo 10 millones en premios sigue dando una buena muestra de la implicación de la comunidad de Bug Hunters de Google, que obviamente ayudan y mucho a mantener los servicios limpios y sin fallas de seguridad importantes.
Así pues, los 632 investigadores de 68 países diferentes que han encontrado y reportado fallos reconocidos por Google, van a repartirse un suculento botín cuya recompensa más alta correspondió a una vulnerabilidad crítica de nada menos que 113.337 dólares.
Desglosando, el sistema operativo Android otorgó a los hackers éticos unos 3,4 millones de dólares por reporte de fallos críticos, mientras que Wear OS y Android Automotive entran en la cuenta con unos 70.000 dólares por 20 fallos críticos descubiertos.
Hay otros 116.000 euros que corresponden a 50 informes reportados acerca de productos Nest, Fitbit y otros wearables, mientras que Chrome, el navegador estrella de Google, recibió 359 escalados que le costaron a Google unos 2,1 millones de dólares.
La IA no se libra, con más de 35 reportes relacionados con Google Bard descubiertos en el evento bugSWAT, generando 87.000 dólares en premios directos.
Cabe recordar que casi todas las recompensas crecieron en 2023, pues Google aumentó las cantidades máximas por reporte de vulnerabilidades de Android a 15.000 dólares, multiplicó por 3 los pagos por exploits dirigidos a Chrome e incluso aumentó a 30.000 dólares los premios por encontrar fallas de seguridad en el motor JavaScript de Chrome.
Sin duda alguna, Google seguirá apostando por estos programas dada su efectividad, y es que desde 2010 ya se rozan los 59 millones de dólares entregados a hackers éticos por descubrir y limpiar los problemas de seguridad en todos los servicios del gigante de Mountain View… ¡Pero es que cuánto cuesta nuestra seguridad y privacidad!
