Aunque Google es ampliamente reconocido por contar con algunos de los mejores investigadores en ciberseguridad y hackers que trabajan para proteger a sus usuarios de amenazas maliciosas, Microsoft también tiene equipos dedicados que operan las 24 horas para mantener alejados a los actores maliciosos.
Ahora, Tom Gallagher, vicepresidente de ingeniería en el Microsoft Security Response Center, lanzó un desafío a los hackers de todo el mundo: "Intenten si creen que son lo suficientemente buenos". Acá te contamos todo sobre el nuevo programa Zero Day Quest, diseñado para incentivar investigaciones de alto impacto con un premio total de US$ 4 millones.
Colaboración para asegurar la nube y la IA
Como muchas otras organizaciones líderes en tecnología, Microsoft trabaja con la comunidad de ciberseguridad a través de programas de recompensas para identificar y mitigar vulnerabilidades. En un anuncio del 19 de noviembre, Gallagher confirmó la expansión del programa de recompensas de Microsoft con el lanzamiento del Zero Day Quest, el mayor evento de hacking de su tipo, según el ejecutivo. Este programa incluirá hasta US$4 millones en recompensas para quienes descubran fallas que afecten los servicios en la nube y la inteligencia artificial.
El desafío comenzó con una invitación a presentar vulnerabilidades en escenarios específicos. Además, los hackers que participen tendrán la posibilidad de ganar un lugar en un evento presencial que se realizará en 2025 en la sede de Microsoft en Redmond.
Premios dobles y acceso exclusivo a expertos
Gallagher también anunció que los participantes podrán obtener pagos dobles por vulnerabilidades relacionadas con IA. Como parte de este esfuerzo, los investigadores tendrán acceso directo a los ingenieros de inteligencia artificial de Microsoft, quienes desarrollan soluciones de seguridad, así como al equipo especializado en pruebas de penetración de la seguridad de esta.
Reglas claras para garantizar la ética
Microsoft publicó las reglas de participación para el desafío, destacando la importancia de operar dentro de los límites éticos establecidos. Las siguientes acciones están fuera del alcance permitido:
- Acceder a cualquier tipo de datos que no sean completamente propios.
- Superar los pasos necesarios para demostrar pruebas de concepto en problemas de ejecución del lado del servidor.
- Realizar pruebas de denegación de servicio (DDoS).
- Ejecutar pruebas automatizadas que generen grandes volúmenes de tráfico.
- Intentar ataques de phishing o ingeniería social, incluidos ataques dirigidos a empleados de Microsoft.
En caso de dudas, como al descubrir datos de clientes o de Microsoft, los participantes deben detenerse y contactar a bounty@microsoft.com para recibir orientación inmediata.
Más que un evento técnico
Gallagher explicó que el Zero Day Quest no se limita a identificar vulnerabilidades. "El propósito también es fomentar nuevas alianzas y fortalecer las existentes entre el Microsoft Security Response Center, los equipos de producto y los investigadores externos", comentó. Si esto resulta en servicios de nube e inteligencia artificial más seguros, el beneficio será para todos.
Con esta iniciativa, Microsoft refuerza su compromiso con la ciberseguridad, incentiva la participación de los mejores talentos del mundo y contribuye a garantizar un entorno digital más seguro y confiable.
*Con información de Forbes US.