Hack the Air Force 3.0 – Nuevo programa de recompensas por reporte de vulnerabilidades

 

Este es el tercer programa de recompensas por reporte de errores informáticos que lanzan las fuerzas armadas de EU

La Fuerza Aérea de los Estados Unidos lanzó a principios de esta semana su tercer programa de recompensas por reportes de vulnerabilidades, llamado Hack the Air Force 3.0, en colaboración con HackerOne, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

“La Fuerza Aérea agradece el interés de los profesionales de la ciberseguridad por participar en el programa de recompensas por reporte de bugs ‘Hack the Air Force 3.0’ del Departamento de Defensa (DoD) de los Estados Unidos”, se menciona en el anuncio publicado por la milicia estadounidense.

“Este es un esfuerzo para que el Departamento de la Fuerza Aérea de Estados Unidos explore nuevos enfoques de su seguridad y adopte las mejores prácticas utilizadas por las compañías de software, seguridad informática y forense digital más importantes del mundo”. Al hacerlo, la Fuerza Aérea de EU podrá garantizar que sus sistemas y combatientes estén lo más seguros posible”.

El programa comenzó el 19 de octubre y durará poco más de un mes; su finalización está prevista para el 22 de noviembre.

Hack the Air Force 3.0 es el programa de recompensas por reporte de errores informáticos más grande que el gobierno estadounidense ha desplegado hasta la fecha, ya que involucra hasta 600 investigadores y especialistas en temas de seguridad informática, forense digital y hacking ético.

“Hack the Air Force 3.0 es una muestra del compromiso que las fuerzas armadas estadounidenses han asumido para reparar las vulnerabilidades que representan riesgos críticos para nuestras redes”, dijo Wanda Jones-Heath, Directora de Seguridad Informática de la Fuerza Aérea.

Los participantes tendrán que encontrar vulnerabilidades en las aplicaciones del Departamento de Defensa, el 70% de los participantes serán seleccionados por el sistema de HackerOne y los restantes se seleccionarán al azar.

El programa de recompensas también está abierto para cualquier habitante de EU, tal como se define en la Sección 7701 (a)(30) del Código de Ingresos Internos, incluyendo también a los contratistas del gobierno de EU. El programa también se encuentra abierto a los ciudadanos extranjeros que no estén en la Lista de Nacionales Especialmente Designadas del Departamento del Tesoro de los Estados Unidos, y que no sean ciudadanos de China, Rusia, Irán y la República Popular Democrática de Corea.

“Si alguien envía un reporte válido según las especificaciones del programa, deberá esperar a que se realice una verificación de antecedentes penales y de seguridad antes de recibir la recompensa estipulada. Se proporcionará información específica sobre la elegibilidad para el pago una vez que el programa haya aceptado un reporte válido”, menciona el Departamento de Defensa en su publicación.

El pago mínimo establecido por el programa es de 5 mil dólares por el reporte de una vulnerabilidad crítica.

El primer programa de recompensas de Hack the Air Force fue lanzado por la Fuerza Aérea de los Estados Unidos en abril de 2017 para someter a análisis la seguridad de sus redes y sistemas informáticos.

Desde su lanzamiento, este programa permitió descubrir más de 200 vulnerabilidades críticas y entregó más de 130 mil dólares. En febrero de 2018, HackerOne anunció los resultados de la segunda ronda del programa de recompensas de bugs de la Fuerza Aérea de EU., Hack the Air Force 2.0. En esta ocasión, el gobierno estadounidense  pagó más de 100 mil dólares por cerca de  100 vulnerabilidades.