Samsung puso a los usuarios a descubrir fallas de seguridad en sus celulares; la recompensa: hasta 1 millón de dólares

Xtk Formato 54
Sin comentarios Facebook Twitter Flipboard E-mail
ismael-garcia

Ismael Garcia Delgado

Editor Jr

Comunicólogo y Periodista por la UNAM. Redactor, locutor, guionista y creador de contenido. Apasionado por la música ochentera, el cine de acción/sci-fi, series dramáticas y la literatura hispana. Fiel defensor del séptimo arte mexicano.

Al parecer, Samsung está tan confiado en su sistema de seguridad que aplico el "si tú encuentras un error, yo te doy un millón de dólares". O bueno, no tanto así. En realidad se trata de una iniciativa creada por la compañía con el fin de promover la creación de informes sobre vulnerabilidades de seguridad en su línea de dispositivos móviles.

De esta manera, la empresa de origen coreano está dispuesta a cualquier cosa con el fin de garantizar la seguridad de los usuarios. Por lo que pagará a quienes logren encontrar escenarios de ataques críticos a sus productos. Las cantidades por lograrlo rondan desde los 30,000 hasta 1 millón de dólares.

Creada originalmente en 2017 bajo el nombre Samsung Mobile Security Rewards Program, la idea se centra en colaborar con personas que investiguen y detecten errores de seguridad a cambio de una compensación económica.

Tales recompensas se brindan a quienes logren una ejecución arbitraria local (ACE, por sus siglas en inglés) y una remota (RCE, por sus siglas en inglés) a través de un exploit, además de la omisión en la protección del dispositivo, su desbloqueo y hasta la extracción de datos. Pero, ¿esto qué significa? Desglosemos poco a poco.

La ejecución arbitraria local se refiere a una vulnerabilidad de seguridad que permite a un atacante ejecutar comandos o programas no autorizados en el dispositivo. En este mismo sentido, la capacidad de desencadenar la ejecución arbitraria de código en una red como internet se le denomina ejecución remota de código.

Por otra parte, los exploit pueden ser un programa, un código o una técnica que infringe la seguridad en el sistema operativo o en aplicaciones. Así, los atacantes pueden utilizarlo para efectuar algún código malicioso, obtener acceso no autorizado, robar información o tomar el control del dispositivo. Esto lo logran al aprovechar fallos en el software o bien, debilidades en la seguridad.

Requisitos para entrar al programa de vulnerabilidad

De acuerdo la página de seguridad de Samsung, para unirse al programa de vulnerabilidades se debe realizar un informe en el cual se demuestre un ataque exitoso.

Vale la pena mencionar que dicho documento podrá recibir el monto máximo de recompensa siempre y cuando cumpla por completo los siguientes requisitos:

  • El informe debe cumplir plenamente con la bonificación por "buen informe".
  • Debe incluir un exploit que se pueda desarrollar y que demuestre que el ataque fue exitoso y que apuntó a uno o varios de los escenarios importantes definidos.
  • El exploit deberá funcionar de manera persistente en la última actualización de seguridad de los dispositivos Galaxy S y Z.
  • El exploit debe ejecutarse sin privilegios.

Los pagos por encontrar las diferentes vulnerabilidades en el sistema de dispositivos Samsung queda de la siguiente manera:

  • Ejecución de código arbitrario

Objetivo

ACE LOCAL

ACE REMOTO

bóveda knox

300,000 dólares

1,000,000 dólares

Sistema operativo teegris

200,000 dólares

400,000 dólares

Sistema operativo enriquecido

150,000 dólares

300,000 dólares

  • Instalación de una aplicación perteneciente a un mercado no oficial

Objetivo

Local

Remoto

Aplicación de Galaxy Store

30,000 dólares

60,000 dólares

Aplicaciones arbitrarias

50,000 dólares

100,000 dólares

  • Desbloqueo del dispositivo y extracción completa de datos del usuario

Después del primer desbloqueo: 200,000 dólares.

Antes del primer desbloqueo: 400,000 dólares.

  • Solución para omitir la protección del dispositivo

Eludir el bloque automático: 100,000 dólares.

Se debe hacer mención que desde 2017, la compañía ha pagado casi 5 millones de dólares en recompensas, de los cuales 827,000 dólares corresponden únicamente al año 2023, año en el que participaron 113 investigadores de seguridad.

Con esto se deduce que existen expertos dispuestos a ganar un dinero extra con tal de demostrar las debilidades de un grande la tecnología. Al parecer, la misma compañía se dio cuenta de esto y decidió aumentar la recompensa con el fin de descubrir sus propios fallos.

Inicio