¿Se aprovechan las empresas de Internet de quienes encuentran errores en sus páginas?

Manuel Moreno El sábado, 7 de septiembre de 2013

shutterstock_101662606 — Imagen: Shutterstock

Entre las empresas de Internet se está poniendo de moda pagar a los usuarios que encuentren errores de programación en sus páginas web. Es una práctica que presenta una doble lectura, ya que por un lado sirve a muchos desarrolladores para ganarse un dinero extra comprobando el código de las web, pero que por otro provoca que, empresas en muchos casos multimillonarias, tengan a expertos informáticos revisándoles gratis sus plataformas “por si acaso encuentran un error”.

El problema se hace mayor porque algunas compañías no especifican claramente los baremos que siguen a la hora de cuantificar la recompensa que merece la persona que ha descubierto el error. Es el caso de Facebook, cuyo programa de gratificaciones recibe el nombre de White Hat. La compañía señala que, como mínimo, pagará 500 dólares a la persona que encuentre un bug (un fallo) en la red social y lo reporte correctamente.

Hasta hace unas semanas Facebook establecía una recompensa máxima de 1.500 dólares, pero acaba de cambiar esta condición y ahora no establece límite. La compañía fijará la cantidad a pagar a quien encuentre el fallo basándose en la gravedad y creatividad del mismo. Es decir, no hay un criterio claro establecido.

Para poder optar a una de las bonificaciones, el usuario que ha encontrado el error debe cumplir con una serie de requisitos técnicos y de comunicación que se especifican en la página del programa. Por ejemplo, no puede hacer pruebas con los perfiles de usuarios reales para comprobar el error, medida que toma Facebook para garantizar la seguridad del resto de individuos. También es necesario que comunique el fallo convenientemente y según unas normas al equipo de seguridad de la red social.

En las últimas semanas las imprecisiones del programa White Hat han provocado alguna que otra polémica en la red. A mediados de agosto un hacker palestino encontró un error por el que podía publicar comentarios en el muro de cualquier usuario, aunque no fuera su amigo en la red social. Trató de comunicarlo a la compañía, pero los responsables de seguridad no hicieron caso de su mensaje, creyendo que no tenía fundamento. El hacker decidió entonces publicar directamente en el muro de Mark Zuckerberg (CEO y fundador de la red social) para contarle su descubrimiento.

Facebook, alegando que se había saltado la norma y que “había puesto en peligro” la seguridad del perfil de Zuckerberg, arregló el fallo y no pagó nada a quien lo descubrió. Semanas más tarde, cambiaba la norma de los 1.500 dólares de recompensa máxima para ofrecer 12.500 dólares a un desarrollador que encontró otro fallo en la red social y lo comunicó correctamente por los canales establecidos. Como medida ejemplarizante, y para hacer olvidar la polémica con el hacker palestino, Facebook modificó las condiciones del programa.

Security-Bug-Bounty — Captura del programa White Hat de Facebook / Facebook.com

La red social no es la única compañía que confía en que los desarrolladores de software de todo el mundo estarán pendientes de su código de programación, trabajando gratis, hasta que alguno encuentre un error y pueda recibir una gratificación. Google posee un sistema similar de gratificaciones, que se aplica a quienes encuentren errores en Google.com, YouTube.com, Blogger.com y Orkut.com, cuatro de las webs que posee el gigante de Internet.

Google en este caso sí establece dentro de las condiciones del Programa de Recompensas la cantidad que recibirá la persona que encuentre un error, dependiendo de la gravedad y el tipo de fallo que sea. Las gratificaciones oscilan entre los 1.000 y los 20.000 dólares que puede lograr quien detecte la ejecución de código remoto en las web.

El buscador sí detalla claramente precios y requisitos técnicos que se deben cumplir para optar a tener una de las recompensas. Además, especifica que los fallos que se encuentren en el navegador Chrome se rigen por sus propias condiciones de uso. En este caso las gratificaciones pueden ir desde los 500 dólares a infinito, habiendo casos en los que los usuarios han recibido más de 30.000 dólares. La transparencia de Google en este sentido le lleva hasta a publicar un “Hall de la fama”, donde muestra los usuarios que más dinero han obtenido comunicando errores a la compañía.

Microsoft va mucho más allá en sus bonificaciones. La compañía de Redmond ofrece recompensas de hasta 100.000 dólares a quien encuentre un fallo de software en Windows 8.1. Por supuesto, el error y la comunicación del mismo debe cumplir unas características determinadas. Además, si el usuario proporciona información sobre cómo solventar el fallo, la compañía le abonará 50.000 dólares más.

La compañía tiene un programa similar para quienes descubran fallos en Internet Explorer 11, aunque en este caso ofrece un máximo de 11.000 dólares de recompensa, a juego con el número de la versión del navegador.

PayPal es otra de las compañías que ha visto cómo su programa de recompensas recibía numerosas críticas de los usuarios en las últimas semanas. Aunque los términos para conseguir una gratificación están claros en su página web, donde se especifica el importe, que puede variar entre los 100 y los 10.000 dólares de recompensa dependiendo de la gravedad del fallo reportado, la compañía se negó recientemente a pagar una bonificación a un usuario que había descubierto un fallo alegando “que era menor de edad”. Como este caso no estaba contemplado en las condiciones de uso del programa de seguridad, PayPal decidió no abonar la gratificación, enfadando a muchos usuarios.

La compañía ni reconoció al adolescente el haber encontrado el error de programación. Muchos estudiantes se dedican a revisar el código de las empresas que tienen este tipo de programas para recibir la compensación económica, pero también para poder poner en su currículum, como un logro, el descubrimiento del error. Otros buscan fallos con la esperanza de que la empresa les contrate y pasen a formar parte de sus equipos de seguridad.

Sea cual sea el motivo, lo cierto es que las grandes empresas ahorran importantes cantidades de dinero en la investigación y prevención de fallos de software, sabedoras de que tienen miles de ojos detrás, pendientes de que cometan cualquier error.