Google prepara a un ejército de 'hackers' para medir su seguridad
Google planea combatir fuego con fuego. La firma anunció el arranque de Project Zero, un programa de seguridad con el que buscan reclutar a los mejores hackers y expertos de seguridad en el mundo para ponerlos a vulnerar cuanto sea posible de internet.
“Estamos contratando a los investigadores de seguridad con las mentes más prácticas y mejor formados para que utilicen 100% de su tiempo a mejorar la seguridad en internet”, dijo Chris Evan, ingeniero de seguridad de Google y responsable de proyecto Zero.
Evans aclara que la iniciativa no tendrá ningún tipo de restricción y que los hackers contratados tendrán libertad de buscar vulnerabilidades en cualquier tipo de software que sea utilizado por un gran número de personas.
“Seguiremos procedimientos estándar para descubrir vulnerabilidades (...) realizaremos investigaciones en mitigación de riesgos, análisis de programa y cualquier otra cosa que nuestros investigadores dedican que vale la pena invertir en ello”, explico Evans en el blog de Seguridad de Google .
El ejército de hackers de Google tendrá la misión de buscar errores o riesgos de seguridad en internet para reportarlos posteriormente a los creadores del servicio o software. Evans aclaró que Google únicamente hará publicas las vulnerabilidades una vez que estás han sido corregidas por la compañía responsable del software.
La iniciativa de la empresa californiana también busca crear un poco de presión sobre la industria de software para que las compañías del sector tengan más apertura sobre posibles riesgos en sus programas. Algunas empresas tienden a ver como una amenaza a los investigadores de seguridad que detectan vulnerabilidades en sus programas.
George Hotz es uno de los ejemplos más claros al respecto. En 2007, cuando el joven estadounidense tenía a penas 17 años, logró vulnerar el sistema bloqueo del software de AT&T en el iPhone. El operador telefónico ignoró su reporte y meses más tarde tomó la decisión de corregir la falla.
Meses más tarde, Hotz logró hacer ingeniería a la inversa sobre el sistema operativo de la consola PlayStation 3 de Sony, lo que le permitió correr cualquier tipo de programa o juego (legal o pirata) en el equipo. Al enterarse, la firma nipona lo demandó.
Sin embargo, firmas como Google, Microsoft y Firefox tienen otra filosofía frente a los actos de hackers como Hotz: pagarles. Las tres compañías manejan programas de recompensas por vulnerabilidades, mientras más grave sea el error mayor será el pago económico.
Google, por ejemplo, otorgó 150,000 dólares a Hotz, cuando el hacker detectó una compleja vulnerabilidad en el sistema operativo para computadoras de la compañía, Chrome OS. En agosto de 2013, la firma confirmó que ha pagado más de dos millones de dólares a investigadores por descubrir fallas de seguridad en varios de sus productos.
“Los investigadores de seguridad hacen lo que hacen porque lo aman. Nosotros les estamos ofreciendo un lugar para que hagan justo eso con total apertura y sin distracciones”, dijo Evans.