Es una práctica de lo más habitual por parte de las empresas tecnológicas: recompensar económicamente aquellos que han sabido encontrar bugs o agujeros de seguridad en sus sistemas. Lo hace habitualmente Google, para descubrir problemas en Chrome, Intel, Netflix y hasta Facebook, que ha anunció la pasada semana un programa para recompensar a los que sepan encontrar problemas en su red social.
Durante mucho tiempo también lo ha hecho Google. De hecho, el denominado Android Security Rewards Program nació en 2015, con el objetivo de recompensar a los usuarios que encontraran y notificaran errores en el sistema operativo Android. La recompensa más alta podía alcanzar los 200.000 dólares, que serían unos 170.000 euros al cambio actual. Sin embargo, parece que a estas alturas nadie ha recibido todavía una cantidad tan suculenta de golpe.
Lo que sí sabemos es que, hasta la fecha, Google ha ofrecido hasta 3 millones de dólares en recompensas. Esto son algo más de 2,5 millones de euros al cambio actual.
99 cazadores de errores en tres años
Según los datos proporcionados por Google, en estos tres años ha habido un total de 99 cazadores de errores trabajando en el programa Android Security Reward. Los resultados han sido buenos, porque estos expertos consiguieron presentar nada más y nada menos que 470 informes de seguridad solo en 2017.
Al mismo tiempo, en este informe de balance, también se ha dado información sobre el fallo de seguridad mejor pagado. Lo encontró este mismo año 2018 un investigador de seguridad chino llamado Guang Gong, parte del equipo de Qihoo 360 Alpha. Lo que localizó este experto fueron dos vulnerabilidades presentes en un dispositivo Pixel (CVE-2017-5116 y CVE-2017-14904). La recompensa que recibió fue de 105.000 dólares, casi 90.000 euros al cambio actual.
En la página del Android Security Program se ofrece información a los investigadores sobre el tipo de recompensas y los premios a los que pueden optar. Las recompensas más reducidas, que exigen un informe completo por parte de los descubridores, se pagan a 300 dólares (255 euros), pero según las características del agujero de seguridad, el pago por encontrar vulnerabilidades graves puede subir hasta cantidades de entre 20.000 y 200.000 dólares.
