El primer exploit de Windows 8.1 ha costado $100.000

Hace unos días, Microsoft anunció que había premiado con un total de $28.000 a 6 investigadores en seguridad que encontraron diversos exploits en la versión preview de Internet Explorer 11. Hoy nos enteremos que uno de estos investigadores, James Forshaw, además se ha hecho con nada menos que 100.000 dólares al dar con la primera vulnerabilidad del sucesor de Windows 8.

Microsoft hizo pública la noticia del premio en su blog BlueHat. Lejos de avergonzarse, la compañía está encantada de que haya expertos en seguridad interesados en descubrir los puntos débiles del software de Microsoft (aunque también con interés en la parte económica) para después reportárselos y que puedan solucionarlos rápidamente. En palabras de Katie Moussouris, Senior Security Strategist y persona encargada de escribir la entrada en el blog de Microsoft "estamos encantados de que podamos ser mejores protegiendo a nuestros clientes, creando nuevas defensas para futuras versiones de nuestros productos porque hemos aprendidos sobre esta técnica (refiriéndose a la que ha conseguido atacar a Windows 8.1) y sus variantes."

Este es el premio de mayor cantidad que Microsoft ha ofrecido desde que inició la puesta en marcha de su programa de gratificación por la detección de vulnerabilidades. Dicen desde la compañía que "lo presentado por James fue de tan alta calidad y dio una idea de otras variantes, tanto que nosotros quisimos premiarle con los $100.000."

El experto en seguridad durante una conferencia.

Además, Microsoft ha revelado algunos detalles del exploit encontrado por James Forshaw en Windows 8.1. Sin embargo, antes de adelantar nada más, quieren resolver el problema por completo. La compañía apunta a que "este conocimiento nos ayuda a hacer las vulnerabilidades individuales menos útiles cuando los atacantes intenta usarlas contra los clientes".

Por el momento, James Forshaw ya acumula un total de 109.400 dólares de ganancias, si contamos los exploits reportados para IE11.

¿Y tú? ¿Piensas que puede ser un negocio dedicarse a la detección de errores de software para ciertas empresas?