Microsoft ha anunciado en Black Hat Europe un cambio estratégico de gran calado en su programa de investigación y recompensas por vulnerabilidades, reforzando su compromiso con la seguridad y la protección de sus clientes en un contexto dominado por la inteligencia artificial y los servicios en la nube.
Este nuevo enfoque, denominado “Incluido por defecto” (In Scope by Default), amplía de manera significativa el alcance de su programa de bug bounty, incentivando la investigación en cualquier área que pueda impactar en sus servicios online, independientemente del origen del código afectado.
Un modelo de seguridad adaptado a un ecosistema más complejo
En un entorno donde los ciberdelincuentes ya no distinguen entre productos, servicios o propietarios del código, Microsoft apuesta por una mentalidad alineada con esta realidad: colaboración abierta, visión global y respuesta coordinada. Las vulnerabilidades suelen aparecer en los puntos de conexión entre componentes o en dependencias externas, por lo que la compañía valora especialmente las investigaciones que analizan el ecosistema completo, incluyendo software de terceros y proyectos open source.
Con este nuevo enfoque, cualquier vulnerabilidad crítica que afecte directamente a los servicios online de Microsoft podrá recibir una recompensa, incluso si se origina en código ajeno a la compañía. Esto supone un paso decisivo para cerrar brechas de seguridad que tradicionalmente quedaban fuera de los programas de recompensas convencionales.
Recompensas ampliadas y foco en áreas de mayor riesgo
Durante el último año, Microsoft otorgó más de 17 millones de dólares en premios a investigaciones de alto impacto, combinando su programa de bug bounty con eventos como Zero Day Quest. Con la nueva estrategia, la compañía amplía las áreas elegibles para recompensas, con especial atención a:
- Dominios y servicios en la nube de Microsoft, donde los investigadores aportan una perspectiva externa clave para detectar vectores de ataque reales.
- Código de terceros y software open source, cuya seguridad es esencial para la integridad de los servicios online.
- Infraestructura corporativa y dominios gestionados por Microsoft, ahora incluidos por defecto en el programa.
Este enfoque integral busca incentivar la investigación en los puntos más atacados por los ciberdelincuentes, reforzando la seguridad de millones de usuarios y organizaciones que dependen de los servicios de Microsoft.
Compromiso con la divulgación responsable
Microsoft subraya que toda investigación debe alinearse con sus Reglas de Actuación Responsable, diseñadas para proteger la privacidad y los datos de los clientes durante el proceso de análisis y divulgación. La compañía invita a los investigadores a remitir sus hallazgos para su evaluación y coordinación, garantizando una respuesta rápida y eficaz ante cualquier amenaza.
Este movimiento se enmarca dentro de la Secure Future Initiative (SFI), la estrategia global de Microsoft para elevar los estándares de seguridad en toda su infraestructura y productos, reforzando su papel como líder en ciberseguridad a nivel mundial.