Cada vez son más las empresas (tecnológicas en su mayoría) que ofrecen programas de recompensa, o bug bounty, para que los hackers y profesionales de la seguridad informática encuentren agujeros y vulnerabilidades en sus programas, sistemas o software antes de que lo hagan los «malos». De esta forma, ofreciendo una recompensa monetaria, atraen a los mejores talentos del hacking que se unen a la lucha. Estos programas han tenido tanto éxito encontrando vulnerabilidades, que incluso se han creado eventos donde se reúnen hackers ad hoc para concursar en programas bug bounty masivos. Uno de ellos es Mobile Pwn2Own de Zero Day Initiative. La competición tendrá lugar los días 1 y 2 de noviembre, durante la celebración de la Conferencia PacSec 2017 en Tokio. El concurso recompensará a los investigadores de seguridad por demostrar y revelar ataques zero-day (o día cero, que todavía no han sido descubiertos) contra los dispositivos móviles más recientes y populares.
Los concursantes recibirán dinero en efectivo y premios durante la competición por descubrir vulnerabilidades y técnicas de explotación contra los parches más actualizados en las plataformas móviles más populares. Los objetivos de este año incluyen el iPhone 7 de Apple, Samsung Galaxy S8, Google Pixel y Huawei Mate9. Después del concurso, los fabricantes tendrán 90 días para producir parches para estos errores, en lugar de la ventana de divulgación estándar de 120. Esto refleja la integridad de los exploits ocasionados con éxito durante el concurso. Dado que se trata de vulnerabilidades prácticas con aplicaciones demostradas, una ventana de parche acortada ayuda a proteger más rápidamente al usuario final contra fallos potencialmente dañinos.
La firma de seguridad japonesa Trend Micro está también detrás del evento. «Este concurso encarna y reproduce la responsabilidad de Trend Micro para alentar y facilitar el descubrimiento de vulnerabilidades zero-day», afirma Mike Gibson, vicepresidente de investigación de amenazas de Trend Micro. «Recompensar la divulgación responsable de estos errores promueve nuestro objetivo general de hacer que todos estén más seguros online. Los investigadores que participan en el concurso ganan notoriedad y puede obtener una cantidad económica significativa, y los fabricantes tienen la oportunidad de parchear vulnerabilidades zero-day que podrían haber causado estragos en sus sistemas”.
Para destacar la importancia de vigilar estas amenazas y la divulgación responsable, la edición del concurso este año ofrece premios más grandes que nunca, con un premio de más de 500.000 dólares. El concurso consta de cuatro categorías que incluyen navegadores, corta distancia y WiFi, mensajería y banda base, que regresa este año.
Interesantes premios
Para atraer a talentos del hacking, es importante que este tipo de programas cuenten con premios interesantes por descubrir las diferentes vulnerabilidades. No son nada fáciles de encontrar, requieren altos conocimientos de los diferentes sistemas y muchas, muchas horas de trabajo. Y eso hay que recompensarlo. En esta tabla se muestran los premios a cambio de encontrar agujeros de seguridad en las distintas categorías:
| Categorías | Objetivo | Premio en Metálico | Puntos Máster Pwn |
| Navegador | Chrome | 50.000 $ | 10 |
| Safari | 40.000 $ | 10 | |
| Browser | 30.000 $ | 8 | |
| Corta distancia y WiFi | Bluetooth | 40.000 $ | 8 |
| NFC | 50.000 $ | 8 | |
| WiFi | 60.000 $ | 8 | |
| Mensajería | SMS | 60.000 $ | 12 |
| MMS | 60.000 $ | 12 | |
| Banda base | * | 100.000 $ | 20 |
Además de las categorías estándar y los premios, hay bonus adicionales por ejecutar código con privilegios del kernel y tener la carga útil persistente después de un reinicio. Estos bonos ayudarán a los concursantes a alcanzar el codiciado título de «Máster Pwn», agregando puntos adicionales a su total por cada exploit exitoso. En la web del concurso se puede obtener más información sobre los premios y procedimiento.
