Más investigadores de seguridad y vulnerabilidades encontradas, pero menos recompensa: los números tras los bug bounty de Microsoft en el último año

Sigmund Zs1zhhhbg8g Unsplash
Sin comentarios Facebook Twitter Flipboard E-mail

Microsoft ha entregado durante los últimos 12 meses más de 13,6 millones de dólares en concepto de recompensas a los investigadores de seguridad que han participado en sus programas de bug bounty.

Así, entre el 1 de julio de 2020 y el 30 de junio de 2021, más de 340 investigadores de seguridad de 58 países distintos se han animado y han participado en alguna de las 17 iniciativas de recompensa por búsquedas de errores en el software de la compañía. En total estos expertos encontraron 1.261 vulnerabilidades válidas.

Más participantes y programas

Estos números suponen un crecimiento en el número de investigadores participantes respecto a los del año pasado. Sin embargo, la cantidad de premios entregada es algo menor (13,7 millones de dólares y 327 investigadores).

Eso sí, Microsoft ha añadido dos programas de recompensas de errores más, incluido uno para su plataforma Teams. El número de informes de vulnerabilidad también ha experimentado un aumento con respecto a las localizadas el año anterior.

Durante los últimos 12 meses, la mayoría de los informes de agujeros de seguridad localizados provinieron de investigadores de seguridad de China, EE. UU., Israel e India. En cuanto a la cantidad de la recompensa obtenida, de media fue superior a los 10.000 dólares. La cantidad más grande abonada fue de 200.000 y fue la recompensa a una vulnerabilidad encontrada en la tecnología de virtualización del sistema operativo de Microsoft, Hyper-V, bajo el Programa Hyper-V Bounty.

Más iniciativas el próximo año

Además, la compañía asegura que estos programas bug bounty no solo le permiten descubrir fallos en sus aplicaciones, sino que escuchan los comentarios de los investigadores “para ayudar a que sea más fácil compartir su investigación”.

La compañía también asegura que el Centro de Respuesta de Seguridad de Microsoft compartirá "más actualizaciones del programa de recompensas y mejoras en el próximo año”.

Inicio