Una startup te pagará hasta 3 millones si descubres una vulnerabilidad de iOS o Android

Si encuentras una vulnerabilidad de Android de día cero (es decir, un error o una vulnerabilidad desconocida para Google), una empresa llamada Crowdfense te pagará hasta 3 millones de dólares por esa información.

El único problema es que no está claro lo que Crowdfense hará con el descubrimiento. La empresa admite que vendería el fallo a otras organizaciones, pero se desconocen los nombres y con qué propósito.

El sitio web de Crowdfense describe a la compañía como «un centro de investigación de vulnerabilidades líder en el mundo» que «evalúa las capacidades activas de ciberdefensa más avanzadas» y luego «las ofrece a un grupo cuidadosamente seleccionado de clientes institucionales globales». En otras palabras, la compañía busca agujeros en los sistemas y luego vende la información a organizaciones no reveladas. 

Aunque Crowdfense es probablemente una compañía ética que sólo usa la información de explotación suministrada para hacer el bien, es fácil imaginar una compañía en su posición vendiendo las vulnerabilidades de software al mejor postor y, por tanto, poniendo en riesgo a cualquiera que use el software.

A modo de comparación, Google también ofrece recompensas por la detección de fallos de seguridad de Android pero estamos hablando de miles de dólares, no millones.

Crowdfense no sólo está buscando fallos de Android. Pagará cientos de miles e incluso millones de dólares por exploits de día cero que afecten a iOS, Windows y macOS.

Según Andrea Zapparoli Manzoni, director de Crowdfense, la compañía tiene 10 millones de dólares depositados en bancos, que controla desde sus oficinas centrales en los Emiratos Árabes Unidos

Manzoni admite que los clientes de Crowdfense son agencias «policiales o de inteligencia» que buscan herramientas «destinadas a recoger información». Así que parece que los fallos van a parar a instituciones gubernamentales… ¿pero qué gobiernos?  |  Fuente: Motherboard