Misión por $300,000: Google convierte la ciberseguridad en arte

Google informa que en 2024 destinó $11,8 millones en el marco del Programa de Recompensas por Vulnerabilidades (Vulnerability Reward Program, VRP). Un total de 660 investigadores recibieron pagos por ayudar a descubrir errores críticos en los productos de la compañía.

La empresa ha actualizado la estructura de recompensas, aumentando los pagos máximos hasta:

• $151 515 en Google VRP;
• $300 000 por vulnerabilidades críticas en aplicaciones móviles;
• $250 000 por errores encontrados en Chrome;
• $151 515 por vulnerabilidades en servicios en la nube.

Además, se lanzó la competencia InternetCTF para la búsqueda de nuevas vulnerabilidades en código abierto y su corrección mediante complementos de Tsunami.

Los cambios también afectaron el proceso de pago: ahora los investigadores pueden recibir recompensas no solo a través del sistema estándar de Google, sino también mediante la plataforma Bugcrowd. En el marco del programa Abuse VRP, los pagos aumentaron un 40% en comparación con el año pasado, y el número total de problemas detectados relacionados con fraudes y abusos superó los 250, lo que generó más de $290 000 en recompensas para los investigadores.

Google también organizó dos eventos bugSWAT en Las Vegas y Málaga, España, reuniendo a los mejores expertos en ciberseguridad. En total, se otorgaron $370 000 en premios, y durante los hackatones se identificaron vulnerabilidades críticas en dispositivos móviles y sistemas de seguridad.

El programa de seguridad para Android y dispositivos de Google generó $3,3 millones en recompensas para investigadores, a pesar de una disminución del 8% en la cantidad de informes. Sin embargo, el número de vulnerabilidades críticas y de alta gravedad aumentó un 2%, lo que indica un refuerzo en la seguridad de Android. En 2024, se prestó especial atención a las plataformas Android Automotive OS y Wear OS. Durante la conferencia ESCAL8, se descubrieron varios problemas de memoria durante el fin de semana, lo que resultó en pagos superiores a $75 000 para los hackers.

En el ámbito de la seguridad del navegador Chrome, en 2024 se registraron 337 informes únicos sobre vulnerabilidades, lo que resultó en pagos por un total de $3,4 millones. Entre los logros destacados está la implementación definitiva del mecanismo MiraclePtr, que invalida muchas vulnerabilidades anteriormente explotables. Por primera vez, se introdujo una recompensa de $250 128 por la evasión del mecanismo de protección MiraclePtr.

Cloud VRP, lanzado en octubre de 2024, se ha convertido en una nueva iniciativa centrada en la seguridad de los productos en la nube de Google. Como parte del programa, se procesaron más de 400 informes, se identificaron más de 200 vulnerabilidades únicas y se otorgaron más de $500 000 en recompensas a los investigadores.

Google también puso un enfoque especial en la seguridad de los sistemas de inteligencia artificial. Durante el primer año del programa Google AI VRP, se enviaron más de 150 informes y se pagaron más de $55 000 en recompensas. En el evento bugSWAT, los investigadores encontraron 35 vulnerabilidades en sistemas de IA generativa, obteniendo más de $87 000 en recompensas.

Desde el lanzamiento de VRP en 2010, Google ha pagado un total de $65 millones en recompensas. En 2024, la mayor suma pagada fue de $110 000. En 2025, Google celebrará el 15.º aniversario del programa de detección de vulnerabilidades y planea expandir sus iniciativas. La compañía continuará apoyando a los investigadores e implementando nuevos mecanismos de protección.

Google VRP en cifras (Google)

La recompensa más alta en la historia de VRP, de $605 000, fue otorgada al investigador gzobqq en 2022 por una cadena de 5 vulnerabilidades en exploits para Android. Este mismo investigador informó sobre otra cadena crítica de exploits para Android en 2021, recibiendo un pago de $157 000.