3 min de lectura
Actualizado el March 19, 2023
Publicado el March 20, 2023
En materia de seguridad, todo es cuestión de quién la consigue primero. Nos apresuramos para identificar errores y problemas antes de que lo hagan los bandidos, por lo que recurrimos a la comunidad de piratería ética para que nos ayuden a estar un paso adelante.
Conseguimos esta ayuda a través de nuestro Programa de recompensa de errores de Zoom, que nos permite ponernos en contacto con investigadores expertos que nos ayudan a mitigar los riesgos de forma proactiva y crear un entorno más seguro para nuestros clientes. En el último año, hemos alcanzado muchos logros como comunidad. Este es un resumen:
En Zoom, probamos nuestra infraestructura todos los días, pero sabemos que no somos inmunes a los casos más extremos de vulnerabilidad. Así que pedimos refuerzos: la comunidad de piratas éticos a veces puede detectar errores que solo se descubren en determinadas circunstancias.
Por eso, nuestro Programa de recompensa de errores se concentra en seleccionar investigadores cualificados y eficaces. En 2022, enviamos más invitaciones a investigadores para que se unieran a nuestro programa HackerOne con el objetivo de atraer a profesionales activos en el ámbito de la seguridad. También nos gusta ir más allá de nuestro programa para encontrar profesionales, por lo que recurrimos a la comunidad a través de eventos del sector como H1-702.
Estos investigadores trabajan duro para ayudarnos, por lo que nos esforzamos por celebrar las entregas de informes satisfactorias como corresponde. En el año fiscal 2023, asignamos 3,9 millones de dólares en recompensas a cientos de investigadores y más de 7 millones de dólares hasta la fecha desde que comenzó el programa.
Más allá de la identificación de vulnerabilidades, el apoyo de los investigadores externos nos ha permitido progresar de otras formas en Zoom. Utilizamos estos informes para evidenciar los elementos que requieren atención, señalar las causas fundamentales de los errores, crear una mejor alineación interfuncional y detectar posibles amenazas antes de que se conviertan en un problema. Gracias a ello, nuestro tiempo de resolución de los informes de recompensas por errores ha mejorado considerablemente en los últimos dos años.
A principios de este año, reestructuramos nuestro equipo y desarrollamos actualizaciones del programa para el año fiscal 2024. Evaluamos a los investigadores que actualmente forman parte de nuestro programa para asegurarnos de que todos están activos y hacen contribuciones. Queremos empezar el nuevo año un paso adelante, y todo empieza trabajando con investigadores eficaces y altamente calificados.
El programa de recompensa de errores de Zoom también está implementando un nuevo sistema de puntuación del impacto de las vulnerabilidades para ayudar a los investigadores a hacer el mejor trabajo posible. Aunque seguiremos utilizando el sistema estándar del sector Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) para asignar puntuaciones a los informes, estamos desarrollando nuestro programa para añadir un sistema de puntuación complementario denominado Sistema de Puntuación del Impacto de las Vulnerabilidades (VISS) que analiza 13 aspectos diferentes del impacto de cada vulnerabilidad notificada en relación con la infraestructura de Zoom, la tecnología y la seguridad de los datos de los clientes. Con la implementación del VISS, el programa de recompensa de errores puede centrarse más en medir el impacto demostrado de forma responsable, en lugar de la posibilidad teórica de explotación.
Como el Programa de recompensa de errores de Zoom fue creciendo durante el último año, seguimos evolucionando y perfeccionando nuestros procesos, recompensas y alcance de las pruebas. Tenemos muchas ganas de ver el impacto de nuestro nuevo sistema de puntuación y todo lo bueno que nuestros investigadores pueden hacer en 2023.
Si le interesa ayudar a hacer que Zoom sea más seguro, envíe su nombre de usuario de HackerOne por correo electrónico a bugbounty@zoom.us o visite la página de empleos de Zoom para consultar los puestos vacantes en los equipos de Confianza y Seguridad. ¡Feliz hackeo!
Para obtener más información acerca de la privacidad y la seguridad de Zoom, explore nuestro Centro de confianza.
5 min de lectura
Aunque octubre sea el mes de la ciberseguridad, la sensibilización cibernética se debe practicar durante todo el año. Consulte estos consejos para proteger sus datos en el trabajo y en casa.
3 min de lectura
Aprenda cómo y por qué debe implementar la IA generativa de forma segura y lo que Zoom está haciendo para crear un entorno de IA seguro para nuestros clientes.
Proteja sus datos de futuros ataques. Aprenda los conceptos básicos de la computación cuántica, el cifrado de extremo a extremo, la criptografía poscuántica y cómo Zoom puede ayudar.
