BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Movistar ofrece una recompensa por descubrir vulnerabilidades en su red, dispositivos y sistemas

Joshua Llorach
Bug Movistar

Movistar habilita un formulario para que los usuarios puedan reportar problemas de seguridad encontrados en su red y cuenta con un programa para recompensar económicamente a los que cumplan los criterios.

Los incidentes de seguridad traen de cabeza a las grandes empresas, sobre todo en los últimos años con la aparición de una floreciente industria ilegal que se dedica a explotar de forma organizada intrusiones en los sistemas con fines económicos, lo que ha disparado el número de casos. El mejor aliado para encontrar las vulnerabilidades es el propio cliente que usa los productos y servicios, aunque la mayoría de las veces sus intentos de llamar la atención sobre un problema se ahogan entre el ruido de las redes sociales y otros canales de contacto.

Equipo de Respuesta a Incidentes de Seguridad de Movistar

Movistar se ha puesto a la defensiva en este aspecto, habilitando un canal de comunicación específico para que los problemas reportados por cualquier cliente no caigan en saco roto y lleguen al departamento adecuado. La operadora no desprecia ninguna pista, venga de un experto en seguridad o un simple cliente. "Si crees que has detectado una vulnerabilidad de seguridad o privacidad que afecta a la red, dispositivos o sistemas de Movistar, ponte en contacto con nosotros", reza su invitación.

Para ello, Movistar ha habilitado un formulario1 para ponerse en contacto con su Equipo de Respuesta a Incidentes de Seguridad en España (CSIRT). En él, hay que indicar las versiones del producto o software afectado, describir en qué consiste la vulnerabilidad y aportar imágenes o un vídeo que ayude a entenderla, indicando los pasos para reproducirla. Tras enviar el formulario, un especialista contactará de vuelta si necesita más información.

La invitación no se queda ahí, sino que la operadora promete pagar al usuario2 si se verifica el problema, gracias a un programa puesto en marcha para recompensar económicamente este tipo de información.

Movistar cuenta con un programa de investigación de vulnerabilidades que, en algunos casos, contempla la compensación económica. La vulnerabilidad reportada será analizada y, en el caso de que se ajuste a los criterios preestablecidos dentro del programa, se invitará al remitente a entrar en el mismo.

  1. movistar.es/Aplicaciones/m/form-contacta…con-nosotros
  2. movistar.es/Microsites/centro-transparen…eportar.html

💬 Comentarios

1
kaleth
7

Mañana: "El RIPE de Movistar, en manos de un lunático que sólo te deja acceder a la web de Renfe y recibir llamadas de príncipes nigerianos".

adicto5G
1

Como no sé cuánto pagan, pues no voy a decir dos fallos que tienen.

🗨️ 2
josten

Lo dudo que hayas encontrado dos vulnerabilidades, pero en el caso de que sea asi, simplemente mandales un correo y preguntales cuanto pagan. Tan facil como eso.

pepejil
2

Bugs != vulnerabilidades

mesi
1

Cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar

Amenhotep
4

Cuando les informemos de una vulnerabilidad dirán que es una feature

Cosmonauta
1

Me parece bien que esto empiece a hacerse en España. A ver si cunde el ejemplo. Hasta ahora, cuando reportas un problema, incluso de seguridad, no solo no te gratifican, si no que te ignoran directamente 🤦🏻‍♂️

🗨️ 4
Jav9i
1

Al menos no te denuciaban, a espera, que muchos si que lo hacían.

🗨️ 2
Cosmonauta

Hombre, si la lías como el fenómeno de ayer, ¿qué esperas?

🗨️ 1
Jav9i

Hablo de simplemente notificar riesgos de seguridad sin haberlos explotado. Obviamente si los explotas, tienes que pagar las consecuencias.

electronics

Vulnerabilidades no, pero fallos de funcionamiento de software o del firmware de algunos productos sí los he notificado (no de Telefónica, de otras empresas). Microsoft sí parece escuchar de buen grado a los usuarios, por lo menos he visto fallos comunicados que han sido solucionados al cabo de varios meses. En el caso de una comunicación que le hice a la división española de un importante fabricante de impresoras no me hicieron el menor caso, ahí sigue con el error y no han sacado ninguna actualización del firm.

Cada empresa es un mundo.

pjpmosteiro
8

A ver si cunde el ejemplo, porque que haya empresas que no solo no arreglan sino que incluso denuncian a los sombrero blanco que les pillan vulnerabilidades…

JGeek00
1

Venga todos a explotar los HGU xd

🗨️ 3
kaleth
1

"Oiga, ¿Movistar? Sus routers son vulnerables al titadine. Darme perras."

Ossian
1

el HGU como te descuides explota solo

Weikis

Su DHCP ya explota solo si metes 20 dispositivos o mas en ciertos askey

Mick Diaz
2

Es una cosa que ya he comentado con anterioridad, me da una pena tremenda que en el caso de que alguien identifique algún ataque a dispositivos de Movistar (centralitas, sistemas de VoIP, telefonía tradicional, etc.), Movistar te pide que te pongas en contacto con el 1004 (donde te suele atender un comercial que la mayoría de las veces no sabe de lo que le hablas); o con el 1002, que no te deja hacer nada si no eres Cliente.

Me parece que Movistar haría muchísimo más atractivo su Programa, si, como sucede en otros países u otras empresas, publicaran en qué casos contemplan la compensación económica, y su cuantía orientativa… hay quien no reporta nada si no sabe cuánto se va a valorar su trabajo.

Por otra parte, me parece muy bien que hayan movido ficha en ese aspecto, pues muchas veces, alguien de fuera puede ver las cosas desde otra perspectiva.

Saludos.

fargom

para que pagar a una empresa especializada

ah, no, que eso cuesta dinero si es buena

es mejor que le dediquen horas y horas 4 pardillos por 4 duros

🗨️ 1
Sokiev
1

Ein? Sabes que, como dice Vukits en otro comentario, este tipo de iniciativas es un estándar en el mundo del software en general, no?

Se trata de una vía legal de reporte de vulnerabilidades, ya sea porque las has encontrado de casualidad o investigando o… y se te recompensará de acuerdo a la gravedad e información que puedas aportar. Lo contrario es que les avises y no te den nada y te escupan en la cara, o que te denuncien por haber usado una vulnerabilidad (porque las hay que para “demostrarlas” tienes que explotarlas…)

Google, Microsoft, Apple… anda que no será por empresas con Bug Bounty.

Menos mal que Telefónica establece precedente en España de empresa grande haciendo esto y en un sector (teleco) que suele rehuir de estas cosas

(Y no, no hay empresas “especializadas” en cazar vulnerabilidades aleatorias. Puedes contratar white hackers o contratar a un proveedor para testear una app o un servicio o… pero no puedes cogerles y decirles “testéame con todas las combinaciones posibles todo lo que hago: app, red móvil con distintos dispositivos y sistemas, en distintas localizaciones con distintos proveedores (Nokia, Ericsson…), testéame el Core, el AC, la red fija de acceso, los HGU… hasta los tornillos de la silla de Pallete)

En tal caso, no solo tendrían que contratar a más de mil personas tranquilamente para cubrirlo todo (insostenible) sino que no aseguraría que “un pardillo” como dices pille algo que esos no. Ni es eficiente ni tiene sentido.

Russell
1

Una buena manera para poner tus habilidades como "White Hat Hacker".

kafeolé
-1

Cada vez quieren trabajar menos…

🗨️ 3
pepejil
5

Creo que no te queda claro lo que es un programa de recompensas.

No se hace para trabajar menos, sino para tener una vía de reporte en algo que se les puede haber escapado a los que desarrollan algún tipo de software. Lo tienen las grandes desarrolladoras de software como Microsoft o Google, y son empresas que tienen a un millar de personas en nómina desarrollando cosas.

El problema es que humanamente es IMPOSIBLE certificar que un código es 100% seguro, por mucho personal que dediques, sea por algún despiste mínimo en el desarrollo o porque en los testing, no se puede probar todas las combinaciones posibles para certificar que ese software está libre de vulnerabilidades. Si una persona por su propia cuenta hace un testing a la aplicación y descubre cosas, lo reporta y, dependiendo de la gravedad del asunto, se le compensa económicamente.

Y se le paga por dos razones:

  • Por el tiempo realizado con el testing para descubrirlo.
  • Por haber tenido un mínimo de ética y no haberse aprovechado de la vulnerabilidad (y mucho menos difundirlo).

Así que no, no lo hacen por vaguedad y mucho menos se merecen criticarles sólo por criticar. A ti como usuario te beneficia que quién te presta servicio tenga programas así.

🗨️ 1
lordman

Y también se hace por un detalle importante, se paga por el tiempo invertido, pero el objetivo principal está en, si interesa según el caso que sea, establecer algún tipo de relación continua a futuro con cierto perfil de gente que ha demostrado su valía.

vukits
4

Esta iniciativa la veo magnifica en todos los aspectos: mientras te den algún tipo de Certificado o Reconocimiento.

El que vale vale, no le faltará trabajo. No nos quejemos de que no pagan, etc,etc. Si eres bueno en eso, te la sopla si tu ISP te da dinero o no: ya tendrás otras fuentes de ingresos.

En cuanto a lo de Movistar, lo que muchos olvidan o ignoran es que antes de que hubiese programas tipo Bug Bounty, te exponías a que la empresa te meta en la cárcel (y con razón), por hacerle un escaneo o auditoría no solicitado.

Luego habrá Juniors que se quejen de que 'no te contratan si no tienes experiencia' . ¡Pues toma experiencia! ¡Ponte a adquirirla!

Oniric0

Algo me hace pensar que la recompensa sin especificar es a elegir entre:

  • Cigarrillos sueltos, en función de la vulnerabilidad.
  • Unos chicles de marca.
  • Descuento en una de tus líneas del 25%, pero con la obligación de un terminal " a 0 euros" y 4 años.
🗨️ 2
lordman
1

Pues piensas muy erróneamente.

Sokiev

Te equivocas bastante, ya simplemente porque les interesa que el programa funcione (en el sentido de: repórtame a mí antes que a otros, siendo estos otros opcionalmente gente que sacará provecho de la vulnerabilidad), y en el momento en que se sepa que se ríen del personal, el programa dejará de ser útil para Telefónica.

Además, este bug bounty me imagino que cubre vulnerabilidades de todo tipo, incluidas las que no afectan a la seguridad de la infraestructura o datos (por ejemplo: un bug que ocasiona que el HGU emita red wifi con menos potencia) - en este caso, esa vulnerabilidad nadie la va a explotar en su propio dispositivo ni se puede "vender", pero aún así, tendrás un canal de comunicación para reportarlo (en vez de como hasta ahora, que cuando se veían errores, la gente se quejaba de "no nos escuchan, no hacen nada…") y una compensación.

Obviamente, todo sea dicho, el que espere que le paguen 100.000€ y un masaje en los pies por reportar que si pulsas 3 veces el botón del WPS del HGU, la wifi reduce la potencia (bug que me acabo de inventar obviamente), que espere sentado. Las cosas, con sentido. Todo depende de la gravedad e información que se aporte.

jamad92

¿Pero esto no es el canal de denuncias que toda empresa con más de 50 empleados está obligada por ley a tener en su web desde el 1 de diciembre de 2023?

Porque habla de vulnerabilidades pero también de fraudes. No explica además cuantías de recompensa ni nada…

1