Microsoft está determinada a conseguir reducir la cantidad de vulnerabilidades que existen en su tecnología y, para ello, ha anunciado que incrementará las recompensas entre quienes las encuentren. Con este ajuste, ahora la empresa estará dispuesta a pagar hasta 40.000 dólares.
El programa de búsqueda de errores de Microsoft .NET goza de una alta popularidad, ya que la empresa es conocida por recompensar de manera muy conveniente a quienes encuentran vulnerabilidades. Para continuar fomentando que haya más profesionales dedicados a la búsqueda, Madeline Eckert, manager senior de la división de Microsoft dedicada a los incentivos y recompensas para investigadores, ha anunciado el aumento en la recompensa. Lo ha hecho en una publicación en el blog oficial del Microsoft Security Response Center (MSRC) con fecha del 31 de julio de 2025, a la que se puede acceder a través de la fuente al final de esta noticia.
Hasta 40.000 dólares
Con un presupuesto de hasta 40.000 dólares por descubrimiento, una cifra que, según el cambio de moneda a fecha de 1 de agosto de 2025 son más de 34.000 euros, Microsoft pretende ser más justa con el trabajo de los investigadores. La compañía explica que estos cambios tienen el objetivo de reflejar el complicado proceso que implica la búsqueda y descubrimiento de las vulnerabilidades de .NET que están siendo explotadas.
De todas formas, hay que tener en cuenta que se trata de una cifra máxima y no del pago que se realizará a todas las personas que hagan descubrimientos de vulnerabilidades. El objetivo de Microsoft es encontrar tanto vulnerabilidades .NET como aquellas relacionadas con ASP.NET Core. Madeline Eckert ha indicado lo siguiente en la publicación de Microsoft:
“Estamos emocionados de anunciar actualizaciones significativas en el programa de recompensas de Microsoft .NET. Estos cambios expanden el enfoque del programa, simplificando la estructura de recompensas y ofreciendo grandes incentivos para los investigadores de seguridad”.
Las vulnerabilidades que pueden ser candidatas a recibir este tipo de pago son aquellas vulnerabilidades críticas que incluyan ejecución de código remoto o fallos de seguridad de tipo escalada de privilegios. Además, la empresa también indica que el descubrimiento de vulnerabilidades que supongan la evasión de funciones críticas de seguridad recibirán hasta 30.000 dólares, mientras que el descubrimiento de los errores que faciliten el realizar ataques remotos de tipo denegación de servicio podrán conseguir hasta 20.000 dólares.
Otras novedades y ajustes
En añadido al aumento de las recompensas, Microsoft ha querido realizar un lavado de cara a su programa de recompensas para intentar captar la atención de una mayor cantidad de profesionales. Así, indican que ahora están dentro del programa todas las versiones tanto de .NET como de ASP.NET, y que también abarca tecnologías como F#. El programa de búsqueda de errores también cubre las versiones soportadas de ASP.NET Core para .NET Framework, los templates que están incluidos con las versiones soportadas de ASP.NET Core y .NET, así como las GitHub Actions tanto en repositorios de ASP.NET Core como de .NET.
Todas estas novedades se complementan con otros ajustes en el programa de búsqueda de vulnerabilidades que se han realizado en los últimos meses. Por ejemplo, Microsoft se volcó meses atrás con el aumento de las recompensas para aquellos expertos que encuentren vulnerabilidades que afecten a su IA con Copilot. También han incrementado los pagos e introducido multiplicadores que permiten conseguir más fondos en el momento de descubrir distintos errores.
| Tipo de Vulnerabilidad | Impacto | Recompensa Máxima (USD) |
|---|---|---|
| Ejecución remota de código (RCE) o Escalada de privilegios | Crítico | $40,000 |
| Evasión de funciones críticas de seguridad | Alto | $30,000 |
| Ataques remotos de denegación de servicio (DoS) | Medio | $20,000 |
Con este programa de recompensas, Microsoft se intenta blindar ante posibles problemas de seguridad graves que podrían llegar a causar multitud de problemas en la empresa y entre sus usuarios. Es parte de su filosofía actual, algo que se ha visto promovido por la adopción de nuevas tecnologías como la inteligencia artificial. Al fin y al cabo, en Microsoft saben que, si quieren ser uno de los pilares de la IA, deben ofrecer esta tecnología sin errores y sin que se produzca ningún incidente a gran escala.
The post Microsoft ya paga más de 30.000 euros si descubres ciertas vulnerabilidades appeared first on ADSLZone.
