Recompensas récord por errores: Google anuncia nuevas cantidades de premios

Google ha anunciado un aumento en los pagos por vulnerabilidades encontradas en sus sistemas y aplicaciones. A medida que los sistemas de la empresa se han vuelto más seguros, y ahora se requiere mucho más tiempo para detectar errores, Google ha decidido incrementar algunas recompensas en cinco veces.

En el marco del Programa de Recompensas por Vulnerabilidades (VRP), ahora se puede recibir hasta $151,515 por una vulnerabilidad de seguridad descubierta. Esta suma incluye $101,010 por una vulnerabilidad RCE en los sistemas más sensibles de la empresa, multiplicada por un factor de 1.5 por la excepcional calidad del informe. Todas las vulnerabilidades descubiertas serán consideradas de acuerdo con las nuevas reglas de pago.

Además de aumentar las recompensas, Google ha ampliado las posibilidades de recibir pagos, incluyendo la opción de recibir dinero a través de la plataforma Bugcrowd. En la sección actualizada de reglas del Google VRP se puede encontrar información detallada sobre las nuevas cantidades de recompensas y la estructura de pagos.

Ejemplos de nuevas recompensas:

• Vulnerabilidad lógica que lleva a la toma de control de una cuenta @gmail.com: $75,000 (anteriormente $13,337).
• Vulnerabilidad XSS en idx.google.com: $15,000 (anteriormente $3,133.7).
• Error lógico que revela información personal en home.nest.com: $3,750 (anteriormente $500).

La semana pasada, Google lanzó un nuevo programa de recompensas kvmCTF, cuyo objetivo es mejorar la seguridad del hipervisor Kernel-based Virtual Machine (KVM). Se ofrece una recompensa de $250,000 por completar un exploit de VM en el hipervisor KVM.

Desde el lanzamiento del programa VRP en 2010, Google ha pagado más de $50 millones a investigadores de seguridad que informaron sobre más de 15,000 vulnerabilidades. El año pasado, Google pagó $10 millones, siendo la mayor recompensa de $113,337.

La recompensa más alta en la historia del VRP, de $605,000, se pagó al investigador gzobqq en 2022 por una serie de cinco vulnerabilidades en una cadena de exploits para Android. Este mismo investigador informó sobre otra cadena de exploits crítica para Android en 2021, recibiendo un pago de $157,000.