El programa de recompensa por errores se dirige a la versión de escritorio de Microsoft Teams y ofrece recompensas significativas por descubrir vulnerabilidades que exponen la información personal de los usuarios.
El 24 de marzo, la compañía anunció la apertura de un programa de recompensa por errores para la versión de escritorio de Microsoft Teams. A través de este programa, Microsoft invita a la comunidad de investigadores de seguridad a participar en premios de hasta $ 30.000 para quienes descubran agujeros de seguridad en la aplicación.
Por otro lado, Teams es la primera de otras aplicaciones que formarán parte del nuevo programa de recompensa por errores, llamado Microsoft Applications Bounty Program, que luego agregará otras aplicaciones de Microsoft a la lista, dijo Lynn Miyashita, líder de este programa a través de un publicación en la que anuncia el programa.
Como explicamos en este artículo sobre cómo funcionan los programas de recompensa por errores, estas iniciativas permiten a cualquier persona interesada en poner a prueba sus habilidades, mientras ayuda a mejorar la seguridad y recibe dinero a cambio. Es una estrategia que muchas empresas utilizan para mejorar su seguridad y que los expertos también aprovechan para ganar dinero haciendo lo que aman. En el pasado, algunos jóvenes han ganado más de un millón de dólares a través de programas de recompensa por insectos.
Este nuevo programa de Microsoft diferencia cinco escenarios posibles, siendo las vulnerabilidades con mayor potencial para exponer la información personal de los usuarios las que recibirán mayores recompensas, con valores que van desde los $ 6.000 hasta los $ 30.000.
En ese sentido, las vulnerabilidades de ejecución remota de código (RCE) sin la necesidad de interacción del usuario pueden pagar hasta $ 30,000. Las vulnerabilidades que le permiten obtener credenciales de autenticación de hasta 15,000, mientras que las vulnerabilidades de cross site scripting (XSS) u otras formas de inyección remota de código que permiten ejecutar scripts arbitrarios en equipos sin la necesidad de interacción del usuario pueden pagar hasta $ 10,000.
Por otro lado, los reportes de otras vulnerabilidades generales identificadas en Microsoft Teams que no entran en la categoría anterior, recibirán recompensas que pueden oscilar entre $ 500 y $ 15,000.
Si alguien identifica vulnerabilidades en la versión en línea de Microsoft Teams, se continuará informando a través del programa de recompensas de servicios en línea de Microsoft.
Finalmente, Miyashita aclara que los informes válidos de brechas de seguridad en Microsoft Teams serán elegibles para participar en el programa de reconocimiento de investigación que duplica el monto de la recompensa, si se selecciona.
La popularidad de Microsoft Teams se disparó en 2020
En 2020, el uso de herramientas para el trabajo remoto creció enormemente como consecuencia de la pandemia. Herramientas como Zoom, por ejemplo, pasaron de 10 millones de usuarios diarios en diciembre de 2019 a 200 millones de usuarios diarios en marzo de 2020. En el caso de Microsoft Teams, la herramienta cruzó la barrera de los 115 millones de usuarios activos diarios en octubre de 2020, una cifra que en abril del mismo año fue de 75 millones y en julio de 2019 fue de 13 millones de usuarios activos por día.
Esta cantidad de usuarios también implica una mayor responsabilidad y atención a los aspectos de seguridad, algo que Microsoft parece estar haciendo con este programa de recompensa por errores.
Las aplicaciones y herramientas de videoconferencia y teletrabajo en general que no estaban preparadas para un salto tan brusco como el que provocó la pandemia sufrieron las consecuencias en varios momentos de 2020. Este es el caso de Zoom, una aplicación que ya en abril de 2020 había sufrido la descubrimiento de varias fallas que afectaron la seguridad y privacidad de los usuarios y que resultaron de la mayor exposición que tuvieron.
En el caso de Microsoft Teams, durante 2020 solo los ciberdelincuentes utilizaron la identidad de la herramienta para engañar a los usuarios en diversas campañas que buscaban, por ejemplo, robar credenciales para acceder a Microsoft 365. También advirtieron sobre el uso de instaladores falsos de actualizaciones a la herramienta que buscaba en última instancia comprometer computadoras con Cobalt Strike, mientras que los datos de ESET mostraban el crecimiento en la detección de archivos maliciosos que usaban el nombre Microsoft Teams – y otras aplicaciones para videoconferencia – en el primer semestre de 2020.
Para obtener más información, visite la página del Programa de recompensas de aplicaciones de Microsoft.