El año pasado, Google batió su propio récord al pagar la mayor cantidad en recompensas por errores (‘bug bounty’) a través de su programa ‘Vulnerability Reward Program’ (VRP).
En total, Google gastó más de 12 millones de dólares en más de 2.900 vulnerabilidades descubiertas en sus productos y de las que informaron investigadores de seguridad.
Sin duda, estos investigadores han desempeñado una gran labor para la compañía al contribuir a que sus productos sean más seguros alertando de las vulnerabilidades que descubren en ellos.
El mayor pago que ha realizado Google por descubrir una vulnerabilidad fue por un informe que detallaba una cadena de explotación de cinco errores en Android (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460). El precio por dicho informe ascendió a 605.000 dólares.
En 2021, el mismo investigador, que utiliza el seudónimo ‘gzobqq’, descubrió otra cadena de explotación crítica en Android. En este caso, su información se vio recompensada con 157.000 dólares, la mayor recompensa por errores en la historia de VRP de Android en ese momento.
Por lo general, las recompensas por informar de vulnerabilidades en Android a través de este programa de Google ascienden a 10.000 dólares. Sin embargo, cuando se trata de cadenas de explotación, la empresa paga hasta un millón de dólares.
El pasado 2022, Google pagó 4,8 millones de dólares en recompensas por cientos de errores en Android. Aman Pandey, de Bugsmirror, ha sido el investigador que ha informado de más errores, en concreto de más de 200 solo durante el pasado año.
Google también pagó 486.000 dólares por 700 informes de seguridad a través del programa de recompensas de seguridad de chipsets para Android (Android Chipset Security Reward Program, ACSRP). Un programa al que se accede solo por invitación, y que recompensa por errores en colaboración con los fabricantes de chipsets de Android.
Google impulsará las recompensas por fallos en Chrome y ChromeOS
Junto a esto, Google también ha pagado un total de 4 millones de dólares en 2022 por 363 vulnerabilidades en el navegador Chrome y 110 problemas de seguridad en ChromeOS.
De cara a este año, la compañía espera ofrecer recompensas adicionales para aquellos que informen de errores de seguridad informados en su navegador y en su sistema operativo ChromeOS.
Además de las recompensas para investigadores, Google también ha destinado más de 250.000 dólares en subvenciones a más de 170 investigadores. Se trata de fondos para personas que vigilan los productos y servicios de Google, incluso si no encuentran vulnerabilidades.
