Samsung te puede dar hasta 1 mdd por descubrir fallas de seguridad en celulares

Samsung ha demostrado una gran confianza en la seguridad de sus dispositivos, tanto que ha lanzado un programa que premia con hasta un millón de dólares a quienes logren identificar fallas críticas en su línea de productos móviles. Esta iniciativa, conocida como el Samsung Mobile Security Rewards Program, tiene como objetivo incentivar la identificación y reporte de vulnerabilidades para garantizar la protección de sus usuarios.

El compromiso de Samsung con la seguridad

La compañía surcoreana está dispuesta a hacer lo necesario para asegurar la seguridad de sus usuarios. Como parte de su compromiso, ofrece recompensas a quienes logren detectar y documentar escenarios de ataque críticos en sus dispositivos. Las recompensas varían, comenzando en $30,000 y llegando hasta $1 millón, dependiendo de la gravedad de la vulnerabilidad identificada.

Este programa, establecido en 2017, se centra en colaborar con investigadores de seguridad que puedan descubrir y reportar errores en el software de Samsung. Las recompensas están diseñadas para aquellos que logren demostrar la ejecución de código arbitrario, tanto a nivel local (ACE) como remoto (RCE), mediante un exploit, así como la capacidad de eludir protecciones del dispositivo, desbloquearlo o extraer datos de manera no autorizada.

¿Qué significan estos términos técnicos?

• Ejecución arbitraria de código local (ACE): Se refiere a una vulnerabilidad que permite a un atacante ejecutar comandos o programas no autorizados en el dispositivo afectado.
• Ejecución remota de código (RCE): Es la capacidad de un atacante para ejecutar código malicioso en un dispositivo a través de una red, como internet, sin necesidad de tener acceso físico al dispositivo.
• Exploit: Es un programa, código o técnica que explota una vulnerabilidad en el sistema operativo o en las aplicaciones. Los atacantes pueden usar exploits para ejecutar código malicioso, obtener acceso no autorizado, robar información o tomar el control del dispositivo.

Requisitos para participar en el programa

Según la página de seguridad de Samsung, para participar en este programa, es necesario presentar un informe que demuestre un ataque exitoso, indica Xataka. El informe debe cumplir con ciertos criterios para recibir la recompensa máxima:

• Bonificación por “buen informe”: El informe debe ser detallado y completo.
• Exploit reproducible: Debe incluir un exploit desarrollado que demuestre la efectividad del ataque en uno o varios escenarios críticos definidos por Samsung.
• Actualidad: El exploit debe funcionar de manera persistente en la última actualización de seguridad de los dispositivos Galaxy S y Z.
• Sin privilegios: El exploit debe ejecutarse sin requerir privilegios elevados en el dispositivo.

Recompensas por identificar vulnerabilidades en dispositivos Samsung

Samsung ofrece diferentes pagos según el tipo de vulnerabilidad encontrada:

• Ejecución de código arbitrario
• Instalación de aplicaciones de fuentes no oficiales
• Desbloqueo del dispositivo y extracción de datos de usuario:
• Después del primer desbloqueo: $200,000.
• Antes del primer desbloqueo: $400,000.
• Elusión de protección del dispositivo:
• Omitir el bloqueo automático: $100,000.

Desde el inicio del programa en 2017, Samsung ha pagado cerca de $5 millones en recompensas, con $827,000 otorgados solo en 2023, en el cual participaron 113 investigadores de seguridad. Esta estrategia refleja el interés de la empresa en identificar sus propias debilidades y mejorar sus sistemas, incentivando a expertos a descubrir y reportar fallas a cambio de una compensación económica significativa.