Microsoft paga menos en su programa de 'bug bounty', y eso ha provocado que un hacker que le informó de una vulnerabilidad ahora difunda cómo sortear su parche

Un investigador en ciberseguridad ha desvelado en internet un exploit que es capaz de aprovechar una vulnerabilidad de día cero (no parcheada) en Windows 10, Windows 11 y Windows Server. Dicho exploit permite a los atacantes elevar sus privilegios dentro del sistema, una vez han penetrado en el dispositivo.

La noticia no resultaría extraordinaria de no ser por el trasfondo que tiene. El investigador, llamado Abdelhamid Naceri, informó hace semanas de una vulnerabilidad. Microsoft la reparó con un parche que se liberó en noviembre. Y ahora esta nueva vulnerabilidad la ha detectado el propio Naceri, pero esta vez no se lo ha comunicado directamente a Microsoft.

Ha compartido toda la información en su perfil en GitHub, el famoso repositorio de código.

¿La razón? Según ha detallado el propio Abdelhamid Naceri a Bleeping Computer, Microsoft está pagando menos a sus cazadores de bug.

Los entresijos de la gran 'hacker night' española, en la que 70 ciberexpertos 'atacaron' a una gran empresa del Ibex por un botín de hasta 200.000 euros

En la industria tecnológica, los programas de bug bounty son habituales. Se trata de un servicio según el cual las compañías se comprometen a pagar una cantidad monetaria a aquellos hackers que le informen de vulnerabilidades en sus plataformas y servicios. De esta manera, muchos hackers están viviendo como auténticos cazarrecompensas detectando vulnerabilidades.

Pero este tipo de programas también tiene sus riesgos. Cuando una compañía está pagando una cantidad que los hackers consideran que no es suficiente, es normal que el hastío o la apatía se conviertan en venganza.

No ha sido el caso. La finalidad de Naceri con la publicación de los detalles de este exploit era fundamentalmente presionar a Microsoft para que liberaran un segundo parche, estando a la vista que el que publicaron en noviembre no ha sido del todo eficaz.

Pero en palabras del propio Naceri, "las recompensas de Microsoft son una basura desde abril de 2020. Realmente no les habría hecho si no hubieran tomado la decisión de rebajar dichas recompensas".

De hecho, Bleeping Computer recoge algunas publicaciones en redes sociales de otros expertos en ciberseguridad que denuncian cómo algunas de las vulnerabilidades día cero que descubrieron hace meses y se remuneraron con 10.000 dólares hoy por hoy, con el nuevo programa de bug bounty de Microsoft, solo se pagarían con 1.000 dólares.

La ciberseguridad es una industria en la que las amenazas suelen ser colectivos de criminales informáticos que alcanzan una alta rentabilidad de sus fechorías. La decisión de Microsoft de reducir las recompensas a aquellos hackers éticos que quieran colaborar con ellos puede ocasionarles más de un quebradero de cabeza.