Se recompensa a quien encuentre vulnerabilidades críticas

Se ha ofrecido una considerable recompensa a quien encuentre vulnerabilidades en los dos nuevos productos de Microsoft: Internet Explorer 7.0 y Windows Vista. Ambos productos han sido alabados por hacer mejoras considerables en la seguridad de los ordenadores personales. A pesar de eso, la empresa iDefense Labs de VeriSign ha organizado una competención de piratería para encontrar fallas de seguridad en Vista e IE7, con grandes premios en efectivo como aliciente.

Las reglas de este concurso son sencillas: Para ganar, las vulnerabilidades no deben ser conocidas por el público y tienen que ser críticas por naturaleza, permitiendo la ejecución remota de códigos sin la ayuda de trucos de ingeniería social en sistemas actualizados por completo. El premio para cada entrega: $8.000 más un máximo de $4.000 adicionales si se entrega el código exploit en funcionamiento junto con su descripción.

Esto puede parecer mucho dinero, pero no hace mucho tiempo se dijo que las vulnerabilidades de Vista están siendo negociadas en algunos sitios clandestinos por sumas cuatro veces mayores. El tema de “dinero a cambio de vulnerabilidad” ha sido bastante popular en la industria por mucho tiempo. Por un lado, el atractivo financiero puede persuadir a algunos hackers a entregar las fallas que han descubierto sin publicarlas ni causar estragos. Por otra parte, este sistema de “desafíos” y “premios” también tiene un lado malo, ya que crea el soporte para un mercado de vulnerabilidades de seguridad. Microsoft ha expresado sus reticencias, sosteniendo que hay mejores maneras de tratar las fallas de seguridad, como su programa de descubrimiento responsable.