La compañía tecnológica Google alcanzó un récord de 8.700.000 dólares (alrededor de 7.881.000 euros) en donaciones para sus Programas de Recompensas de Vulnerabilidad (VRP, por sus siglas en inglés), una posibilidad que ofrece a los investigadores que identifiquen y corrijan vulnerabilidades en su ecosistema.

La compañía ha señalado en una entrada de su blog, que, gracias a esta colaboración, alcanzó cifras récord en 2021, año en que estos investigadores donaron más de 300.000 dólares (unos 272.000 euros) de sus recompensas a una organización benéfica de su elección.

Como viene siendo habitual desde 2015, año en que dieron comienzo estos programas de investigación, Google ha dado a conocer el total de las aportaciones de este año, que han sido significactivamente mayores a las de años precedentes.

Así, en 2021 el total de dólares donados a los usuarios e investigadores que formaron parte de VRP ascendió a 8,7 millones de dólares, frente a los 6,7 millones de dólares que fueron otorgados en 2020.

Una vez determinada la cantidad económica total de recompensas que ha realizado en 2021, Google ha hecho una comparativa de los resultados obtenidos en los VRP de sus diferentes servicios.

Así, en Android se duplicaron los gastos totales de 2020 en 2021, con casi 3 millones de dólares en recompensas (2,71 millones de euros), cuyo pago más alto fue de 157.000 dólares (más de 142.000 euros) -el más grande de su historia- a unos investigadores que advirtieron la cadena de explotación crítica CVE-2021-39698.

Otros de los investigadores que la compañía ha destacado en este comunicado han sido Aman Pandey, de Bugsmirror Team, que presentó 232 vulnerabilidades en 2021, y Yu-Cheng Lin, que compartió 128 informes válidos al programa de Android VRP en 2021.

Asimismo, ha informado de que en 2021 se lanzó un Programa de recompensas de seguridad de chipset de Android (ACSRP), un programa de recompensa por vulnerabilidad ofrecido por Google en colaboración con los fabricantes de estos componentes desarrollados por Android.

Se trata de un proyecto privado al que los interesados solo pueden unirse por invitación, que brinda recompensas y reconocimiento por las contribuciones de sus investigaciones para velar por la seguridad de los dispositivos Android. En total, el ACSRP pagó más de 296.000 dólares por más de 220 informes de seguridad válidos a estos investigadores.

Por su parte, Chrome VRP también ha registrado cifras récord, ya que 115 investigadores de este programa de vulnerabilidades fueron recompensados por 333 informes únicos de errores de seguridad.

Así, el total de recompensas por estos reportes alcanzó los 3,3 millones de dólares (tres millones de euros), mientras que 3,1 millones de dólares (2,8 millones de euros) se otorgaron por errores de seguridad del navegador Chrome y 250.500 dólares (226.438 euros) por errores del sistema operativo Chrome.

Entre algunos de los logros que ha expuesto la compañía estñan el récord de Rory McNamara, un investigador de Chrome OS VRP que se ha convertido en el más premiado de toda la historia del programa por su labor durante los últimos cinco años.

Además, ha destacado el trabajo de Leecraso, investigador de Chrome Browser VRP, que fue quien recibió más premios en 2021, con 18 informes de errores válidos, la mayoría de ellos centrados en las vulnerabilidades de corrupción de memoria que afectan al navegador.

También, la empresa tecnológica ha destacado que pagó 550.000 dólares (casi 500.000 euros) en recompensas a más de 60 investigadores de seguridad únicos por el programa de Google Play.

Por último, ha animado a los interesados a formar parte del programa experimental de subvenciones para la investigación de vulnerabilidades, un sistema de becas destinado a aquellos que deseen analizar detalladamente la seguridad de sus productos y servicios.

Seis años después del lanzamiento de esta iniciativa, Google ha asegurado que en 2021 otorgó más de 200.000 dólares en ayudas destinadas a más de 120 investigadores de seguridad en todo el mundo.

GOOGLE BIG HUNTING COMMUNITY

La compañía también ha recordado que el pasado año lanzó Google Bug Hunting Community, un portal de investigación público destinado a mantener los productos de Google (Android, Chrome y Google Play) e Internet seguros y protegidos.

Se trata de una plataforma que abierta con un único formulario de seguridad que permite a los usuarios e investigadores reportar errores de seguridad y ofrece oportunidades de interactivas a través de juegos y tablas de clasificación por país, entre otros.

Aquellos interesados en reforzar su aprendizaje en este aspecto, pueden acceder al contenido disponible Bughunter University, espacio donde se incluyen recomendaciones y trucos para detectar estos problemas.