Google ha anunciado el lanzamiento de bughunters, una nueva plataforma que aglutina todos los aspectos relacionados con su Programa de Recompensas por Vulnerabilidad (VPR). Entre las novedades, se incluyen recursos de aprendizaje para todos aquellos que estén interesados en convertirse en cazadores de errores a través de Bug Hunter University y un sistema de puntuación que integra mecánicas típicas de juegos («gamificación»).
Hace poco más de una década, el gigante tecnológico lanzó su Programa de Recompensas por Vulnerabilidad” para que los investigadores de seguridad pudieran reportar errores a cambio de compensaciones económicas con el fin de hacer de Internet un entorno más seguro.
10 años del Programa de Recompensas
En un principio, no se esperaban el verdadero alcance que tendría la iniciativa. El primer día del proyecto, los miembros del equipo calcularon que se presentarían entre cero y 20 vulnerabilidades, pero fueron sorprendidos con más de 25 informes publicados.
“Desde su inicio, el programa VRP no solo ha crecido significativamente en términos de volumen de informes, sino que el equipo de ingenieros de seguridad detrás de él también se ha expandido, incluidos casi 20 cazadores de errores que nos informaron sobre vulnerabilidades y terminaron uniéndose al equipo de Google VRP”, comenta Jan Keller, gerente del programa técnico Google VPR, mostrando su sorpresa inicial ante el crecimiento inesperado de la iniciativa.
No obstante, el equipo de Google no es el único que han adoptado medidas similares. Aunque fue lanzado posteriormente (2014), GitHub también cuenta con su particular “Security Bug Bounty Program” y, recientemente, analizó su trayectoria, señalando que 2020 fue el año en el que más problemas de seguridad se resolvieron. En esta ocasión, con motivo de sus 10 años de historia, Google ha hecho lo propio con su VPR, destacando los logros de la comunidad de investigadores durante ese periodo:
- 11.055 recompensas por reportar errores.
- 2.022 investigadores premiados.
- Han colaborado usuarios de 84 países diferentes, entre ellos España.
- El total de las recompensas asciende a 29.357.516 dólares.
Un nuevo sitio web para aglutinar los errores de todas las plataformas
Con el objetivo de seguir en la misma línea, Google ha renovado su programa y ha lanzado un nuevo sitio web ( bughunters) que concentra todas las plataformas e incluye nuevas características e incentivos para animar a los investigadores a seguir contribuyendo activamente.
“Para celebrar nuestro aniversario y asegurarnos de que los próximos 10 años sean igual de exitosos (o incluso más) y colaborativos, nos complace anunciar el lanzamiento de nuestra nueva plataforma, bughunters.google.com”, explican en una publicación del blog de la compañía. “Este nuevo sitio acerca a todos nuestros VRP (Google, Android, Abuse, Chrome y Play) y proporciona un formulario de admisión único que facilita a los cazadores de errores enviar problemas”, explica Jan Keller”.
Asimismo, han enumerado una serie de características incorporadas en la plataforma y han querido despejar las dudas de algunos usuarios con respecto a los procedimientos válidos dentro de esta iniciativa.
Nuevas características y algunas aclaraciones
La organización ha presentado un sistema de obtención de recompensas más atractivo, adoptando la “gamificación” como principal aliciente. De esta forma, ahora los investigadores obtendrán una serie de logros (a modo de videojuego) en función de sus aportaciones y errores descubiertos. Además, se ha incorporado una tabla de clasificación por países para fomentar una competitividad sana como si de un torneo se tratase.
La compañía del motor de búsqueda sabe que muchos investigadores utilizan sus triunfos en la caza de bugs para encontrar trabajo. Por eso, aparte de aprovechar sus posiciones en el ranking para ello, Google les ofrece la posibilidad de aplicar a sus ofertas de empleo a través del siguiente enlace. Obviamente, cuanto mayor sea su reputación, más posibilidades tendrán de ser seleccionados.
De igual manera, se ha simplificado la publicación de informes de errores para acelerar el proceso y eliminar algunos aspectos confusos. También se han añadido recursos de aprendizaje. Si alguien está interesado en aportar su granito de arena, pero no dispone de los conocimientos necesarios o le hace falta pulirlos, puede echar un vistazo al contenido didáctico que ofrece el sitio a través de la nueva Universidad Bug Hunter.
Por otro lado, han querido aclarar algunos detalles sobre su VPR que suelen generar dudas. Por ello, han señalado que enviar parches para software de código abierto, así como publicar trabajos de investigación sobre su seguridad son opciones válidas para recibir una recompensa. Del mismo modo, el software de código abierto de los participantes podría recibir apoyo financiero por parte de la compañía si es seleccionado.
