Hoy compartimos contigo el anuncio de Microsoft sobre la ampliación de su programa de recompensas por vulnerabilidades (bug bounty) para incluir todos sus servicios online, incluso aquellos que incorporan componentes de terceros o proyectos de código abierto. Con este cambio, denominado “Incluido por defecto” (In Scope by Default), cualquier vulnerabilidad crítica que afecte directamente a sus servicios será elegible para recibir una recompensa, sin importar el origen del código.

Este nuevo enfoque responde a la necesidad de proteger a los clientes frente a ataques cada vez más sofisticados, que suelen aprovechar puntos de conexión entre diferentes componentes. Ahora, los investigadores podrán contribuir en áreas clave como:

• Servicios y dominios en la nube de Microsoft: análisis desde la perspectiva de un atacante para reforzar las defensas.
• Código de terceros y software open source: reconocimiento y recompensa cuando las vulnerabilidades impacten en los servicios online de Microsoft.

En 2024, la compañía concedió más de 17 millones de dólares en premios gracias a su programa de recompensas y eventos como Zero Day Quest. Con esta ampliación, Microsoft refuerza su colaboración con la comunidad de seguridad para garantizar la protección de sus clientes.

Para más información, por favor accede al post: Microsoft lanza un enfoque global y colaborativo en la investigación de vulnerabilidades