Bug Bounty Program en PlayStation: qué es, cómo funciona...

'Bug Bounty Program' anima a los usuarios y al público general a detectar fallos y brechas de seguridad en PlayStation 4 y PlayStation Network. Aquellos que reporten las vulnerabilidades más graves, pueden recibir 50.000 dólares o más. ¿Quieres saber más detalles? En este artículo te explicamos cómo funciona el programa.

¿En qué consiste el programa Bug Bounty?

El programa de recompensas por errores de PlayStation había estado funcionando en privado para algunos investigadores de ciberseguridad. Sin embargo, la compañía decidió abrirlo al público con el objetivo de reforzar la seguridad de sus productos con ayuda de la comunidad, y así ofrecer una mejor experiencia de juego —según señaló el Director Senior de Ingeniería de Software de Sony Interactive Entertainment (SIE), Geoff Norton, en el blog corporativo—.

¿Quién puede participar?

Actualmente, el programa Bug Bounty está destinado a la comunidad de jugadores, investigadores y cualquier persona que desee probar el sistema de seguridad de PlayStation 4 y PlayStation Network. Esto excluye a los empleados, contratistas y proveedores de servicios de SIE, así como a sus familiares.

¿Qué productos y servicios están cubiertos por el programa?

Aunque ya ha tenido lugar el lanzamiento de PS5, PS4 aún tiene varios años de vida útil. En vista de lo anterior, la compañía está interesada en informes de fallos y vulnerabilidades acerca de los siguientes sistemas que se muestran a continuación. No se tendrán en cuenta vulnerabilidades detectadas en PlayStation 1, PlayStation 2, PlayStation 3, PS Vita, PSP, otros accesorios, dominios o software de terceros. Encuentra más información sobre la política del 'Bug Bounty Program' de PlayStation aquí.

• La consola, el sistema operativo y el hardware de PlayStation 4 (ya sea la versión actual o beta del software). Dependiendo de cada caso, PlayStation podría evaluar la posibilidad de aceptar reportes sobre versiones anteriores.

• Los siguientes dominios de la plataforma PlayStation Network:

1. .playstation.net
2. .sonyentertainmentnetwork.com
3. .api.playstation.com
4. my.playstation.com
5. store.playstation.com
6. social.playstation.com
7. transact.playstation.com
8. wallets.api.playstation.com

¿Dónde se reportan las vulnerabilidades?

Si encuentras un fallo de vulnerabilidad, puedes enviar un informe desde la plataforma de HackerOne. Primero necesitarás crear una cuenta e iniciar sesión. Luego, ingresa al sitio web del programa y haz clic en Submit report para enviar tu informe. Recuerda indicar los detalles suficientes para que HackerOne pueda comprobar la validez de la vulnerabilidad. Es posible que la plataforma te solicite información adicional. En el marco del programa Bug Bounty, PlayStation confía en la buena fe de investigadores, usuarios y hackers y, por lo tanto, solicita que no accedan, usen ni transfieran la información que puedan encontrar. Para más información sobre la divulgación responsable de vulnerabilidades, haz clic aquí (en inglés).

¿Cuáles son las recompensas?

PlayStation evalúa la gravedad de la vulnerabilidad reportada y la calidad del informe para determinar si hay lugar a una recompensa. Ahora bien, a través de la plataforma, puedes ver que ya se han pagado más de 175.000 dólares en total. Cabe mencionar que Sony otorga dinero solamente a la primera persona que comunique una brecha de seguridad nunca antes reportada. Las recompensas varían dependiendo de la gravedad de la vulnerabilidad reportada, que se clasifica 4 categorías: crítica, alta, media y baja. Como parte de la asociación entre PlayStation y HackerOne, la plataforma de recompensas de errores online es la encargada de realizar los pagos. Las siguientes sumas de dinero corresponden a la cantidad mínima otorgada por categoría:

• Para PlayStation 4

1. Nivel crítico: $50.000
2. Nivel alto: $10.000
3. Nivel medio: $2.500
4. Nivel bajo: $500

• Para PlayStation Network

1. Nivel crítico: $3.000
2. Nivel alto: $1.000
3. Nivel medio: $400
4. Nivel bajo: $100