News

Mozilla y Google intercambian vulnerabilidades por dinero

Google ha ofrecido una recompensa de cientos, y hasta más de mil dólares, a las personas que descubran alguna vulnerabilidad desconocida de los navegadores Firefox y Chrome.

Mozilla tuvo la idea en 2004 y, desde entonces, ofrece $500 y una camiseta a cualquier persona, excluyendo sus empleados, que descubra las fallas de seguridad. Además, quien descubra una vulnerabilidad seria también tiene la oportunidad de discutir sobre el problema con un grupo de ingenieros de la empresa.

Google no se quedó atrás y hace poco adoptó la idea de Mozilla, pero con recompensas un poco más generosas. La oferta básica de Google sigue siendo de $500 por cada vulnerabilidad detectada en Chrome, pero el pago puede aumentar dependiendo de la gravedad del problema. La recompensa máxima es de 1.337 dólares, destinada a las vulnerabilidades que son “particularmente severas o particularmente ingeniosas”.

La convocatoria está dirigida a personas de todo el mundo, pero quienes residen en países que tienen un alto nivel de restricciones de exportación con los Estados Unidos (como Cuba, Irán y Corea del Norte), no podrán participar. Google tampoco entregará la recompensa a menores de edad, pero no los ha excluido del todo: “No podemos premiar a menores, pero seremos felices si un adulto los representa”, explicó Google.

“Mientras hayan más personas examinando el código y comportamiento de Chromium, más seguros estarán nuestros millones de usuarios”, dijo Chris Evans, de Google Chrome Security. “Este no es un concurso, es un programa de recompensas constantes”.

Pero, a pesar de las buenas intenciones, algunos expertos creen que a ambas empresas les “saldrá el tiro por la culata” porque el mercado negro paga más por las vulnerabilidades desconocidas de lo que ofrecen Mozilla y Google.

“La idea es que quieren alentar a los investigadores a que ataquen su programa de forma proactiva para poder parchar la vulnerabilidad antes de que los delincuentes la exploten. Es una buena idea. El problema está en que están plantando una semilla que de otro modo no existiría, la de ‘podría ganar dinero haciendo esto’”, opinó Joshua Corman, director de investigación de The 451 Group.

Fuentes:

Mozilla y Chrome recompensan a quienes descubran fallos de seguridad El País

Google Offers Hackers Bucks For Chrome Bugs Dark Reading

Google follows Mozilla into vulnerability detection with rewards offered for flaw identifications on Chrome SC Magazine

Mozilla y Google intercambian vulnerabilidades por dinero

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada