Microsoft lanza un enfoque global y colaborativo en la investigación de vulnerabilidades

Por Tom Gallagher, vicepresidente de Ingeniería, Microsoft Security Response Center 

Hoy, en Black Hat Europe, he reafirmado nuestro compromiso con la protección de nuestros clientes, poniendo en valor la colaboración con la comunidad de investigadores de seguridad. 

En un mundo dominado por la Inteligencia Artificial y la nube, los ciberdelincuentes no se centran en productos o servicios concretos, ni tampoco les preocupa quién desarrolla el código que intentan atacar. Por eso, la comunidad de seguridad debe adoptar la misma mentalidad: colaborar y aportar su experiencia allí donde sea necesario para proteger eficazmente a nuestros clientes. 

Las vulnerabilidades de seguridad suelen aparecer en los puntos de conexión entre distintos componentes o cuando entran en juego dependencias. Por eso, valoramos especialmente aquellas investigaciones que adoptan una visión global, abarcando tanto la infraestructura de Microsoft como las dependencias externas, ya sean soluciones comerciales o proyectos de código abierto. 

Desde hoy mismo, la identificación de cualquier vulnerabilidad crítica que tenga un impacto directo y demostrable en nuestros servicios online será susceptible de recibir una recompensa. No importa si el código es propiedad de Microsoft, de un tercero o si es de código abierto: nos comprometemos a remediarlo sea cual sea su origen. Nuestro objetivo es fomentar la investigación en aquellas áreas de mayor riesgo, especialmente en los puntos que los ciberdelincuentes suelen atacar con más frecuencia. En ausencia de programas de recompensas específicos, reconoceremos y premiaremos igualmente el valioso trabajo y la diversidad de enfoques de la comunidad investigadora en seguridad, sea cual sea el ámbito de su especialización. Esto abarca tanto los dominios como la infraestructura corporativa gestionados por Microsoft. 

Denominamos a esta estrategia “Incluido por defecto” (In Scope by Default). Con ello, ofrecemos a los investigadores una orientación clara y garantizamos la promoción de la investigación responsable allá donde nuestros clientes puedan verse afectados. Hasta ahora, nuestro programa de recompensas contemplaba un alcance específico para cada producto o servicio. Con el nuevo enfoque, ampliamos el programa para abarcar de manera predeterminada todos los servicios online. Además, los nuevos servicios estarán dentro del ámbito de aplicación desde el mismo momento en que se lancen. 

El año pasado, gracias a nuestro programa de recompensas por vulnerabilidades (bug bounty) y al evento de hacking en directo Zero Day Quest, concedimos más de 17 millones de dólares en premios a investigaciones de seguridad de alto impacto. Con los cambios que anunciamos hoy, ampliamos las áreas que pueden optar a estos premios, con especial atención a los siguientes ámbitos clave: 

• Dominios y servicios en la nube de Microsoft: Los investigadores de seguridad, al no contar con nuestra visión interna, tienen la capacidad de analizar nuestros sistemas desde el punto de vista de un atacante. Al colaborar con nosotros y atenerse a nuestras normas de actuación, podemos poner en marcha medidas y protecciones que refuercen constantemente la defensa frente a ataques maliciosos, ofreciendo así una capa adicional de seguridad para nuestros clientes. 

• Código de terceros, incluido el software open source: Si detectamos que los servicios online de Microsoft se ven afectados por vulnerabilidades presentes en código de terceros —incluyendo proyectos de código abierto— nos interesa conocerlo. En caso de que no exista previamente una recompensa definida para este tipo de investigaciones, nos comprometemos a establecer una. De este modo, cerramos posibles vacíos en la investigación de seguridad y elevamos el nivel de protección para todos los que dependen de este tipo de soluciones. 

En Microsoft colaboramos estrechamente con la comunidad de investigadores en seguridad siguiendo unas Reglas de Actuación Responsable que garantizan la protección de los datos y la privacidad de nuestros clientes. Es fundamental que los investigadores conozcan y comprendan estas directrices antes de iniciar cualquier análisis. Una vez realizadas sus investigaciones, pueden remitirnos sus hallazgos para su evaluación y la coordinación de su divulgación responsable. 

La seguridad de nuestros clientes es nuestra máxima prioridad. La colaboración con la comunidad de expertos en ciberseguridad es esencial en nuestra estrategia global para garantizar que todo lo que hacemos esté protegido. Si quieres conocer más a fondo las iniciativas que estamos desarrollando en este ámbito, puedes consultar nuestro último informe sobre la Iniciativa Futuro Seguro (Secure Future Initiative o SFI por sus siglas en inglés).