Desde el MSRC (Microsoft Security Response Center o Centro de Respuesta de Seguridad de Microsoft) se ha lanzado recientemente el programa de recompensa de errores ElectionGuard Bounty (Recompensa de la Guardia Electoral).
Hay que recordar que en mayo de este año se anunció el lanzamiento de ElectionGuard (Guardia Electoral), un SDK (Kit de Desarrollo de Software) gratuito de código abierto para que la votación sea más segura, transparente y accesible.
En ese entonces se informó que ElectionGuard permite la verificación de principio a fin de las elecciones, abre los resultados a organizaciones de terceros para una validación segura y permite a los votantes individuales confirmar que sus votos se contaron correctamente.
Ahora, se ha podido conocer que el programa de recompensa de errores ElectionGuard Bounty invita a los investigadores de seguridad a asociarse con Microsoft para proteger a los usuarios de ElectionGuard.
Se trata del compromiso más amplio que Microsoft ha asumido para preservar y proteger los procesos electorales bajo el Programa de Defensa de la Democracia, de acuerdo a lo indicado por Jarek Stanley, gerente senior de Programa en el MSRC.
En una entrada de blog ha explicado que los investigadores de todo el mundo, ya sean profesionales de seguridad cibernética a tiempo completo, aficionados a tiempo parcial o estudiantes, están invitados a descubrir vulnerabilidades de alto impacto en áreas específicas del SDK de ElectionGuard.
Una vez halladas las brechas de seguridad, según lo proyectado, los investigadores podrán compartirlas con Microsoft en virtud de la Divulgación de Vulnerabilidad Coordinada (CVD).
Un aspecto muy importante que se debe mencionar es que los envíos elegibles en este programa de recompensa de errores, con una prueba de concepto (POC) clara y concisa, serán tomados en consideración para premios que podrían alcanzar hasta los 15 mil dólares.
Trabajando con investigadores de seguridad
El programa de recompensa de errores ElectionGuard Bounty, como otros tantos que son muy comunes entre las compañías de tecnología, se utiliza para incentivar la identificación y divulgación coordinada de vulnerabilidades de seguridad.
Jarek Stanley ha comentado que los programas de recompensas de errores han sido implementados por una gran cantidad de organizaciones, incluyendo el Departamento de Defensa de Estados Unidos, United Airlines, Twitter, Google, Apple, Microsoft y muchas otras empresas o instituciones interesadas en conocer las brechas de seguridad en sus sistemas.
“Microsoft cree firmemente que las asociaciones cercanas con los investigadores hacen que los clientes estén más seguros”.
Y es que los investigadores de seguridad desempeñan un papel integral en el ecosistema al descubrir e informar vulnerabilidades a Microsoft a través de la Divulgación Coordinada de Vulnerabilidades.
En este sentido, los investigadores de seguridad han demostrado repetidamente que trabajar juntos ayuda a proteger a los clientes y, por esto, el Centro de Respuesta de Seguridad de Microsoft cada año se asocia para proteger mejor a miles de millones de clientes en todo el mundo.
Fortaleciendo la investigación de seguridad
Se ha informado que Microsoft ha cancelado 4.4 millones de dólares en recompensas desde el primero de julio de 2018 hasta el 30 de junio de 2019, en 11 programas de recompensas, con un premio máximo de 200 mil dólares. En su sitio web se pueden conocer todos los detalles sobre los programas de recompensas de errores de Microsoft.
“Microsoft se compromete a fortalecer nuestra asociación con la comunidad de investigación de seguridad, así como a buscar nuevas áreas para mejorar la seguridad en la tecnología emergente”.
El Gerente senior de Programa en el MSRC también espera compartir más actualizaciones y mejoras de recompensas en los próximos meses, una vez que los investigadores de seguridad se animen a participar en este nuevo programa de recompensa de errores ElectionGuard Bounty.