Hace exactamente un año, el 16 de junio del 2015, Google anunciaba un programa de recompensas para los usuarios que detectaran fallos de seguridad en Android. Para celebrar el aniversario, la compañía ha anunciado interesantes novedades en los premios económicos de su sistema de recompensas, y también ha aprovechado la ocasión para revelar cómo ha ayudado este programa a la seguridad de nuestros dispositivos.
Porque, de las actualizaciones de seguridad mensuales que llegan a los Nexus (abril, mayo, junio…), buena parte de las mejoras de seguridad tiene su origen en las aportaciones que realizan los usuarios al programa de Android VRP (Vulnerability Rewards Program). A los Nexus y también a los que no son móviles de la gama de Google, ya que incluso los dispositivos que están fuera del AOSP se ven beneficiados por estos parches de seguridad.
No actualizar a ciertas versiones es una práctica más extendida de lo que pensamos. Por qué lo hacen y quiénes.
Primero, echemos un vistazo a las cifras que Google ha revelado acerca de cómo ha sido este primer año de su programa de “Android Security Rewards“. En total, el programa ha servido para que la compañía haya recibido nada menos que 250 reportes de vulnerabilidades en el sistema operativo Android.
15 de los 82 usuarios que han recibido una recompensa económica por reportar vulnerabilidades de Android se han llevado 10.000 o más dólares
De todos esos reportes, Google ha desembolsado más de 550.000 dólares en recompensar a los usuarios que han dado a conocer los fallos de seguridad de Android. Ese dinero ha ido a parar a las manos de un total de 82 personas, lo que de media se traduce en una recompensa de 2.200$ por fallo detectado y, visto desde la perspectiva de los participantes, 6.700$ por persona.
Entre esos 82 usuarios, el que más destaca es @heisecode, un usuario que con 26 reportes de vulnerabilidades se ha embolsado la nada despreciable cifra de 75.750 dólares. Por otra parte, en este enlace podemos ver a todos los usuarios que han aportado su granito de arena para hacer a Android un sistema operativo más seguro.
La seguridad en Android es uno de los factores más controvertidos; analizamos cómo ha avanzado en 2015, cuáles son los mayores peligros, y cómo protegernos.
Pero, aprovechando este aniversario, Google también se ha permitido anunciar mejoras en este sistema de recompensas. Los reportes de alta calidad de vulnerabilidades ahora se pagarán con un 33% más de dinero, de forma que -por ejemplo- un reporte de una vulnerabilidad crítica se pagará a 4.000 dólares (respecto a los 3.000 que se pagaban hasta ahora). Los reportes que vengan acompañados de una prueba, además, se pagarán con un 50% adicional.
Y ojo con las vulnerabilidades mejor pagadas. Los reportes que hasta ahora se pagaban a 20.000 dólares pasarán a ser recompensados con 30.000 billetes americanos, mientras que los reportes valorados en 30.000 dólares pasarán a estar valorados en 50.000$. Así que, si alguna vez os habéis planteado colaborar en la seguridad de Android, es ahora o nunca.
Google ha optado por publicar las actualizaciones OTA para Nexus y Pixel C en forma de imágenes, permitiendo descargarlas para actualizar sin esperar.
Más información sobre el programa de recompensas: Reward Program
La entrada Tras un año, Google anuncia novedades en sus recompensas por detectar fallos de seguridad aparece primero en El Androide Libre.
Continúar leyendo...