Microsoft amplía su programa de recompensas por vulnerabilidades

Tom Gallagher, vicepresidente de ingeniería de Microsoft Security Response Center, ha anunciado en el congreso Black Hat Europe la estrategia In Scope by Default (”Incluido por defecto”), con la que amplía el alcance de su programa de recompensas para la identificación de vulnerabilidades, que hasta ahora tenía un alcance limitado a cada producto o servicio.

Como ha publicado el experto en un blog, “la identificación de cualquier vulnerabilidad crítica que tenga un impacto directo y demostrable en nuestros servicios online será susceptible de recibir una recompensa. No importa si el código es propiedad de Microsoft, de un tercero o si es de código abierto […] en ausencia de programas de recompensas específicos, reconoceremos y premiaremos igualmente el valioso trabajo y la diversidad de enfoques de la comunidad investigadora en seguridad, sea cual sea el ámbito de su especialización”.

Antes incluso de haber ampliado el alcance de su programa, la compañía señala que el pasado año otorgó más de 17 millones de dólares tanto a través de su programa de recompensas por vulnerabilidades como en el evento de hacking en directo Zero Day Quest. Un impulso a la colaboración que para la compañía es “esencial en nuestra estrategia global para garantizar que todo lo que hacemos esté protegido”.

Gallagher señala que, con la ampliación anunciada, prestarán atención a dos “ámbitos clave”. Por un lado, los dominios y servicios en la nube de la propia Microsoft, buscando una visión externa capaz de analizar sus sistemas “desde el punto de vista de un atacante”. Por otro, el código de terceros, “incluido el software open source”, si se detecta “que los servicios online de Microsoft se ven afectados por vulnerabilidades presentes en código de terceros”.