No interesa a “hackers” propuesta del gobierno de Quebec
La comunidad de expertos en informática estima que son muy bajas las recompensas que la provincia ofrece por descubrir vulnerabilidades en sus sitios web. El ministerio de Ciberseguridad sólo ha pagado 13,000 dólares de 64,000 disponibles
Redacción Crónica Norte
MONTREAL, 22 enero 2024.— En mayo de 2022, el gobierno de Quebec lanzó un programa de recompensas por descubrir vulnerabilidades en sus sitios web, con el objetivo de mejorar la seguridad cibernética. Sin embargo, según expertos en el campo, este programa no ha sido lo suficientemente generoso como para atraer a hackers calificados. El ministerio de Ciberseguridad confirmó que solo se han pagado 13,000 dólares en recompensas desde el inicio del programa, de un total de 64,000 dólares disponibles, dejando 51,000 dólares sin reclamar.
El programa paga entre 100 y 750 dólares estadounidenses por cada vulnerabilidad encontrada, dependiendo del nivel de riesgo, que varía de “bajo” a “alto”. Hasta la fecha, no se han identificado vulnerabilidades críticas, con aproximadamente 10% clasificadas como de alto riesgo y el resto como bajas o medias. Quebec utiliza la plataforma YesWeHack para reclutar hackers, donde se especifica que las recompensas pueden variar entre 50 y 3,000 dólares según la gravedad de la vulnerabilidad descubierta.
Patrick R. Mathieu, cofundador de Hackfest y experto en ciberseguridad, dijo: “No voy a perder mi tiempo por 50 dólares en lugar de probar otro lugar que me ofrece 2,000”, según una nota de TVA. Y añadió: “Shopify, una empresa de Ontario, ofrece entre 500 y 200,000 dólares en su programa de recompensas”.
Otro problema destacado es la limitada gama de sitios web que están incluidos en el programa. Pier-Luc Maltais, un hacker y “cazador de bugs” de tiempo completo, comenta que “desde la perspectiva de un hacker, el programa es muy pequeño y poco interesante”. Sin embargo, entiende que “el gobierno haya comenzado con un alcance reducido para no arriesgar innecesariamente los sitios web gubernamentales”.
Actualmente, solo los sitios web relacionados con los ministerios de Seguridad Pública de Ciberseguridad, la CNESST y el portal Clic Santé están abiertos para pruebas por parte de los hackers.
Con información de TVA