MS, todos los destinatarios de recompensas por servicios en línea están incluidos... la gama de recompensas por vulnerabilidades se amplía significativamente

Microsoft(MSFT) anuncia una expansión significativa del alcance de su programa de recompensas por vulnerabilidades. A partir de ahora, todas las vulnerabilidades de seguridad en sus servicios en línea serán automáticamente incluidas en el programa de recompensas, y los problemas en software de código abierto y de terceros también serán evaluados sin excepción.

El cambio central radica en la introducción de la política de “inclusión predeterminada”. Según esta, los nuevos servicios en línea de Microsoft serán objeto de recompensas por vulnerabilidades desde su lanzamiento, y los millones de servicios existentes podrán participar sin procesos de aprobación adicionales. Al no ser necesario establecer manualmente el alcance de cada producto, los investigadores de seguridad podrán reducir significativamente el tiempo dedicado a determinar qué vulnerabilidades son válidas.

El vicepresidente de ingeniería del Centro de Respuesta de Seguridad de Microsoft(MSRC), Tom Gallager, enfatizó que esta expansión no es simplemente un cambio administrativo, sino una reforma estructural. Él afirmó: “Ahora todos los servicios se incluyen automáticamente, lo que permite a los investigadores centrarse en vulnerabilidades que tienen un impacto real en los clientes y reportarlas más rápidamente.” Además, Microsoft planea colaborar de manera más activa con los investigadores para solucionar o brindar soporte en problemas que surjan en código de terceros o de código abierto.

Durante mucho tiempo, el programa de recompensas por vulnerabilidades ha sido criticado por su alcance ambiguo o excesivas restricciones, considerándose que generaba confusión entre los investigadores y limitaba las actividades de investigación. Al respecto, Martín Yatlius, director de productos de inteligencia artificial de la compañía de seguridad Outpost24, declaró: “Esta iniciativa cubre toda la exposición de vulnerabilidades de la empresa y representa un avance importante.” Comentó que ve esto con buenos ojos y advirtió: “Los atacantes no se fijan en el origen del código. Ya sea en frameworks como React-to-Shell o en productos propios de Microsoft, intentarán vulnerarlos si es posible.”

Las predicciones del sector indican que, en las etapas iniciales, esta medida podría incrementar el monto de pagos en recompensas por vulnerabilidades. Sin embargo, los análisis sugieren que, a medida que aumenta el nivel general de seguridad, a largo plazo esta estrategia será altamente rentable. Al cubrir de manera integral las vulnerabilidades que afectan directamente a los usuarios y clientes empresariales, Microsoft busca mejorar la credibilidad general de su ecosistema de seguridad basado en la nube.