Microsoft ha anunciado un cambio profundo en la forma en que gestiona la investigación de vulnerabilidades, ampliando el alcance de su programa de recompensas por fallos de seguridad para incluir, por defecto, todos sus servicios online, incluso cuando las vulnerabilidades no residen directamente en código propio. El anuncio se realizó en el marco de Black Hat Europe y ha sido detallado en un post firmado por Tom Gallagher, vicepresidente de ingeniería del Microsoft Security Response Center (MSRC) .
“queremos incentivar la investigación responsable allí donde nuestros clientes puedan verse afectados”
El nuevo enfoque, bautizado como “In Scope by Default”, parte de una premisa clara: en un mundo dominado por la nube y la inteligencia artificial, los atacantes no distinguen entre software propio, dependencias de terceros u ওপen source. “Los actores maliciosos no se limitan a productos o servicios concretos. No les importa quién es el propietario del código que intentan explotar”, señala Gallagher, subrayando que la seguridad debe abordarse con la misma lógica transversal .
Hasta ahora, el programa de bug bounty de Microsoft funcionaba con alcances bien delimitados por producto o servicio. Con este cambio, todos los servicios online de la compañía pasan a estar cubiertos automáticamente desde su lanzamiento, eliminando la necesidad de definir listas específicas y reduciendo la ambigüedad para los investigadores de seguridad.
Más allá del código propio
Uno de los aspectos más relevantes del anuncio es la inclusión explícita de vulnerabilidades en componentes de terceros, librerías comerciales y proyectos de código abierto, siempre que tengan un impacto directo y demostrable en los servicios online de Microsoft. Según explica Gallagher, “si los servicios online de Microsoft se ven afectados por vulnerabilidades en código de terceros, incluido open source, queremos saberlo”. Y añade un matiz clave: “si no existía previamente un programa de recompensas para reconocer ese trabajo, lo ofreceremos nosotros” .
Este planteamiento responde a una realidad cada vez más evidente en los entornos cloud: muchas vulnerabilidades críticas surgen en los puntos de integración, en dependencias compartidas o en componentes que escapan al control directo del proveedor final. Con esta ampliación, Microsoft busca incentivar la investigación precisamente en esas zonas de mayor riesgo, donde el impacto para el cliente puede ser más significativo.
Un programa en crecimiento
Durante el último año Microsoft destinó más de 17 millones de dólares a recompensar investigaciones de alto impacto, sumando su programa de bug bounty y eventos de hacking en vivo como Zero Day Quest . La compañía asume que el nuevo enfoque ampliará el número de investigaciones elegibles —y previsiblemente el volumen de recompensas—, pero lo considera una inversión directa en resiliencia y reducción de riesgo.
Desde la perspectiva de Microsoft, el objetivo es doble: por un lado, dar mayor claridad y previsibilidad a la comunidad investigadora; por otro, acelerar la detección y corrección de fallos que puedan afectar a millones de usuarios y organizaciones.
El movimiento ha sido bien recibido por parte de profesionales del sector, que lo interpretan como un paso hacia una visión más realista del perímetro de seguridad. Al ampliar el alcance al conjunto de la superficie de ataque —y no solo al código propietario—, Microsoft refuerza la idea de que la seguridad en la nube es un esfuerzo compartido, en el que proveedores, desarrolladores e investigadores deben trabajar de forma coordinada.
En palabras de Gallagher, este cambio no es solo operativo, sino estratégico: “queremos incentivar la investigación responsable allí donde nuestros clientes puedan verse afectados”, independientemente de dónde se origine la vulnerabilidad . Una declaración que conecta directamente con la línea marcada por la iniciativa Secure Future Initiative y con el creciente foco del mercado en la gestión integral del riesgo en ecosistemas digitales complejos.
