Icono del sitio Technocio

Microsoft ofrece hasta 30 mil dólares por fallas de seguridad en Teams

El programa de bug bounty está dirigido a la versión de escritorio de Microsoft Teams y ofrece importantes recompensas por el descubrimiento de vulnerabilidades que permitan exponer información personal de usuarios.

El pasado 24 de marzo la compañía anunció la apertura de un programa de bug bounty (recompensas) para la versión de escritorio del Microsoft Teams. A través de este programa, Microsoft invita a la comunidad de investigadores en seguridad a participar por recompensas que llegan hasta los 30 mil dólares para quienes descubran fallas de seguridad en la aplicación.

Por otra parte, Teams es la primera de otras aplicaciones que formarán parte de nuevo programa de bug bounty, llamado Microsoft Applications Bounty Program, que más adelante sumará a otras aplicaciones de Microsoft a la lista, aseguró Lynn Miyashita, líder de este programa a través de una publicación en la que anuncia el programa.

Como explicamos en este artículo acerca de cómo funcionan los programas de bug bounty, estas iniciativas permiten a cualquiera persona interesada poner a prueba sus habilidades, a la vez que contribuye a mejorar la seguridad y recibe dinero a cambio. Es una estrategia que utilizan muchas empresas para mejorar su seguridad y que también aprovechan los especialistas para obtener ingresos haciendo lo que les gusta. En el pasado algunos jóvenes han llegado a ganar más de un millón de dólares a través de programas de bug bounty.

Este nuevo programa de Microsoft diferencia entre cinco escenarios posibles, siendo las vulnerabilidades con mayor potencial de exponer información personal de los usuarios las que recibirán recompensas más altas, con montos que van desde los 6.000 a los 30.000 dólares.

En este sentido, vulnerabilidades de ejecución remota de código (RCE) sin necesidad de interacción por parte del usuario pueden llegar a pagar hasta 30.000 dólares. Vulnerabilidades que permitan obtener credenciales de autenticación hasta 15.000, mientras que vulnerabilidades de cross site scripting (XSS) u otras formas de inyección de código remota que permita ejecutar scripts arbitrarios en Teams sin necesidad de interacción del usuario pueden llegar a pagar hasta 10.000 dólares.

Por otra parte, los reportes de otras vulnerabilidades generales identificadas en Microsoft Teams y que no entren en la categoría anterior, recibirán recompensas que pueden ir desde los 500 a los 15.000 dólares.

En caso de que alguien identifique vulnerabilidades en la versión online de Microsoft Teams, las mismas continuarán siendo reportadas a través del programa de recompensas para servicios online de Microsoft.

Por último, Miyashita aclara que los reportes válidos para fallas de seguridad en Microsoft Teams serán elegibles para participar del programa de reconocimiento a la investigación que duplica el monto de la recompensa en caso de ser seleccionado.

La popularidad de Microsoft Teams explotó en 2020

En 2020 creció enormemente el uso de herramientas para el trabajo remoto producto de la pandemia. Herramientas como Zoom, por ejemplo, pasaron de contar con 10 millones de usuarios diarios en diciembre de 2019 a 200 millones en marzo de 2020. En el caso de Microsoft Teams, la herramienta superó la barrera de los 115 millones de usuarios activos diarios en octubre de 2020, una cifra que en abril del mismo año era de 75 millones y en julio de 2019 era de 13 millones de usuarios activos por día.

Esta cantidad de usuarios también implica mayor responsabilidad y atención a los aspectos de seguridad, algo que parece estar haciendo Microsoft con este programa de bug bounty.

Las apps y herramientas para realizar videoconferencias y teletrabajar en general que no estaban preparadas para un salto tan repentino como el que provocó la pandemia sufrieron las consecuencias en varios momentos del 2020. Este fue el caso de Zoom, una app que ya en abril de 2020 había sufrido el hallazgo de varios fallos que afectaban a la seguridad y privacidad de los usuarios y que fueron surgiendo como consecuencia de la mayor exposición que tuvo.

En el caso de Microsoft Teams, durante 2020 solamente la identidad de la herramienta fue utilizada por los cibercriminales para engañar a los usuarios en varias campañas que buscaban, por ejemplo, robar credenciales de acceso a Microsoft 365. También se advirtió sobre el uso de falsos instaladores de actualizaciones de la herramienta que buscaban en una instancia final comprometer los equipos con Cobalt Strike, mientras que datos de ESET mostraron el crecimiento que tuvieron las detecciones de archivos maliciosos que utilizaban el nombre de Microsoft Teams -y el de otras apps para realizar videoconferencias- en la primera mitad de 2020.

Para más información, visitar la página Microsoft Applications Bounty Program.

Salir de la versión móvil