– MICROSOFT
MADRID, 11 Dic. (CIBERPRO) –
Microsoft ha ampliado su programa de recompensas por vulnerabilidades (‘bug bounty’) para incluir todos sus servicios ‘online’, incluyendo aquellos que utilizan componentes de terceros o proyectos de código abierto.
Esta iniciativa ha adoptado un enfoque denominado ‘Incluido por defecto’ que abarca cualquier vulnerabilidad crítica que tenga un impacto directo y verificable en sus servicios ‘online’, sin limitarse a productos o servicios concretos.
El fundamento de esta decisión radica en que las vulnerabilidades frecuentemente surgen en los puntos de interacción entre diferentes componentes o debido a dependencias, como explica Tom Gallagher, vicepresidente de Ingeniería en el Microsoft Security Response Center, en un comunicado.
Así, se recopilará la investigación que adopte una perspectiva integral y considere tanto la infraestructura de Microsoft como las dependencias externas, ya sean soluciones comerciales o proyectos de código abierto.
De este modo, el programa de recompensas podrá reconocer las vulnerabilidades detectadas en los dominios y servicios en la nube de Microsoft, permitiendo que los investigadores, al ser externos a la compañía, adopten el punto de vista de un potencial atacante.
Además, se premiarán los fallos de seguridad en el código de terceros, incluyendo software ‘open source’, con el objetivo de «cerrar posibles brechas en la investigación de seguridad y elevar el nivel de protección para todos aquellos que dependen de estas soluciones», señala Gallagher.
El año pasado, la compañía otorgó más de 17 millones de dólares (alrededor de 14,5 millones de euros) en recompensas por investigaciones de seguridad de alto impacto, sumando el programa de recompensas y el evento de ‘hacking’ en directo Zero Day Quest.
