Google pagará por la notificación de vulnerabilidades en sus websites
Google ha anunciado que pagará en efectivo a los expertos en seguridad por información sobre fallos de seguridad en sus sitios web. Esta iniciativa sigue a otro programa similar en el que Google compensa económicamente a los investigadores por la notificación de brechas en su navegador Chrome.
El propósito perseguido por Google con la puesta en marcha de este programa es tener la oportunidad de cubrir las vulnerabilidades antes de que los ciberdelincuentes empiecen a explotarlas. Por ello, los investigadores interesados en participar deberán descubrir los fallos a la compañía en privado antes de hacerlos públicos. A cambio, recibirán de Google recompensas en efectivo que variarán entre los 500 y los 3.133 dólares, dependiendo de la gravedad de la brecha reportada.
Los investigadores tendrán que poner a prueba la seguridad de los sitios web de Google experimentando directamente con los servidores de la compañía, no con descargas sobre sus propios equipos. Como consecuencia, pueden correr el riesgo de quebrantar la ley o de interrumpir el servicio de Google. Para evitar estos inconvenientes, ésta ofrece algunas directrices sobre lo que es correcto y lo que no lo es según los términos del programa. Por ejemplo, no pagará por información sobre vulnerabilidades DoS –en las que los que las pruebas podrían hacer caer sus servidores- ni por información sobre fallos en su infraestructura corporativa.
La compañía ha entregado ya unas 50 recompensas de este tipo dentro de su programa para Chrome, lanzado el pasado enero. En cualquier caso, existen algunas líneas de Google que, al menos de momento, no están cubiertas por este tipo de iniciativas, como son Android, Picasa o Google Desktop.