Microsoft ha señalado recientemente que ha pagado unos USD 28 mil en recompensas a los investigadores que han trabajado en su programa de búsqueda de errores que comenzó en Junio de 2013. El sistema se empleó para la versión previa del Internet Explorer 11. Los premios y participantes que los obtuvieron fueron publicados en la web de la compañía.
Sin embargo, vale notar que Microsoft ha gastado apenas USD 1.000 más que lo que ha invertido Google en su programa de investigadores externos durante la última semana. En el caso de Google se ha utilizado este modelo para el navegador Chrome. En total, lo gastado por esa firma solo ha significado un 10% de la inversión en programas similares durante 2013. Otras empresas que adhieren a estos programas son Facebook y PayPal. En todo caso no se trata en sí de una competencia a ver quien gasta más, sino que importan los resultados. El objetivo de Microsoft era, como el de todas las empresas que utilizan el sistema, recibir reportes de vulnerabilidades y prevenir que estas aparezcan en el lanzamiento del programa. Andrew Storms, Director de DevOps en la firma de seguridad CloudPassage, señala: “Solo necesitan pagar lo suficiente para que la gente reporte los errores. Por otro lado, aquellos que estaban dispuestos a vender las vulnerabilidades en el mercado negro lo seguirán haciendo”.
Ha sido la primera iniciativa de Microsoft con un sistema de recompensas. En total, unos 6 profesionales reportaron un total de 15 “bugs” o errores en el navegador. Tres de los investigadores que más beneficios obtuvieron fueron: James Forshaw, de Context Security, USD 9.400; Jose Antonio Vazquez González, de Yenteasy Security Research, USD 5.500, y Masato Kinugawa, USD 2.000. Peter Vreugdenhil de Exodus Intelligence reportó una sola vulnerabilidad, pero parece haber sido importante. Aunque no hay un reporte oficial sobre el pago recibido (A pedido del participante), al descontar todos los otros pagos y tomar el monto total la cifra que surge es de USD 10 mil. Microsoft había anunciado un premio máximo de 11 mil y Vreugdenhil apareció en el primer lugar de la competencia. Curiosamente dos empleados de Google han participado en el evento (Ivan Fratric y Fermin J. Serna).
Storms cree que el programa del IE11 ha sido exitoso simplemente porque fue el primero para Microsoft. Aunque también ha remarcado que la cantidad de fallos encontrada es buena. La versión 11 del Internet Explorer se lanzará el 17 de octubre.
Fuentes: ITWorld, Computerweekly, CNet
