España parece tener ya un plan definido en lo que respecta a la regulación de las "loot boxes" en los videojuegos. Y es que como bien han comentado nuestros compañeros de Xataka, hoy se ha presentado el primer borrador, pudiendo conocer algunas de las medidas destacadas que el Gobierno tiene listas para poner ciertas limitaciones a este tipo de técnicas que cada vez son más frecuentes en esta industria.

Una de las medidas clave es la de prohibir las cajas de botín a menores de edad. Para ello, desde el Ministerio de Consumo han informado que todo el mundo deberá dar su DNI a aquellas plataformas que cuenten con 'loot boxes'.

Qué son las 'loot boxes'

Las 'loot boxes', cajas de botín, o cajas de recompensas, son artículos virtuales que se consiguen en un videojuego y que en su gran mayoría dependen del azar. Si bien en algunos títulos pueden conseguirse con tan solo jugar, otras veces tendremos que pagar para recibirlas, una mecánica que cada vez está más instaurada, sobre todo en los juegos como servicio.

En Vida Extra

Una nueva investigación establece un fuerte vínculo entre las loot boxes y los problemas con los juegos de azar

El Gobierno lo ha definido como Mecanismos Aleatorios de Recompensa (MAR), y solamente serán considerados como tal, "cuando la activación de los mecanismos de recompensa cuesten dinero u otros objetos virtuales adquiridos con dinero directa o indirectamente". Aquí también entrarían las recompensas adquiridas a base de criptomonedas o NFTs.

De esta manera, para todos los juegos en los que haya que pagar para recibir recompensas que dependan de la aleatoriedad, esta nueva ley nos obligará a realizar una serie de acciones.

Prohibidas para menores de edad y DNI para comprobarlo

Fue el propio Alberto Garzón, quien en 2020 confirmaba en una entrevista para Xataka que, la nueva ley prohibirá a los menores de 18 años adquirir cajas de botín. Y es que según Garzón, "Muchas de estas cajas de recompensa se dan en videojuegos que pueden tener incluso una acreditación legal PEGI por debajo de 18 años".

Por otra parte, para los mayores de edad también habrá cambios. Y es que la ley pretende obligar a los sistemas que incluyan 'loot boxes' a contar con una serie de ajustes. De esta manera, los usuarios podrán limitar el gasto total o parcialmente a través de un sistema para excluir aquellas cajas de recompensa de pago. Esto permitirá a los jugadores a establecer sesiones de juego con un tiempo e importe máximo.

La edad se comprobará a través de DNI, ya sea mediante verificación del propio número del documento, o a través de identificación biométrica. De esta forma, todos los juegos que incluyan 'loot boxes' estarán obligados a solicitar el DNI para comprobar si la cuenta pertenece o no a un menor de edad.

Exigir el DNI en videojuegos es algo muy poco común, y de seguro generará debate, sobre todo en lo que respecta a la privacidad del usuario y al supuesto "fin del anonimato". En tiendas de aplicaciones como Google Play sí llevan solicitándolo desde hace un par de años, sin embargo, pedir el DNI para jugar a videojuegos en España no es algo muy habitual.

Otra duda que surge es acerca de las tarjetas de regalo, es decir, aquellas que podemos adquirir para plataformas y juegos de PlayStation, Nintendo Switch, Riot Games y demás. Al depender del DNI para las 'loot boxes', se abre la posibilidad de que también tenga que ser necesario a la hora de adquirirlas, aunque esto es algo que todavía queda en el aire.

Además de la exigencia del DNI, la ley también prohibirá la publicidad física y online relacionada con las cajas de botín. Quedará totalmente restringida también en radio y televisión, a excepción de la franja horaria de las 1 a las 5 de la madrugada.

Junto a todo esto, los servicios y plataformas también deberán de dar detalles acerca de los premios que se pueden conseguir con las cajas de recompensas, pudiendo conocer información veraz sobre las posibilidades para obtener el premio.

Apple ha reabierto su programa de recompensas por reportar vulnerabilidades, tras haber decidido finalmente cambiar el modelo de solo permitir investigadores selectos que la empresa había aprobado, y también ha expandido los sistemas que cubre el programa.

Es decir, ahora cualquier investigador de seguridad podrá reportar bugs no solo de iOS, sino también del resto de sistema de la familia de dispositivos de Apple: macOS, iPadOS, tvOS, watchOS, y también iCloud.

Apple inauguró su programa de recompensas en agosto de 2016, pero no ha sido sino hasta final de este 2019 que la empresa finalmente lo ha expandido de verdad.

En Genbeta

macOS Catalina, análisis: de más a menos

Recompensas de hasta un millón de dólares

Las reglas del programa específican que solo serán elegibles para recompensa aquellos bugs que se encuentren en las últimas versiones públicas de iOS, iPadOS, macOS, tvOS, o watchOS con una configuración estándar.

Además, es obligatorio no desvelar públicamente el problema antes de que Apple haya liberado la correspondiente actualización para resolver el problema. Ahora, si una vulnerabilidad es desconodida por Apple y son únicas de versiones beta para desarrolladores o de betas públicas, esto puede resultar en una bonificación de pago de hasta 50%.

Las recompensas mínimas son de 25.000 dólares, pero pueden alcanzar hasta los 500.000 o el millón de dólares dependiendo de la gravedad de los fallos, Apple incluso incluye algunos consejos sobre cómo maximizar tu pago según lo que más les interesa. Puedes leer la lista detallada de ejemplos de recompensas en la web de Apple.

Todos los reportes deberán ser detallados contener un exploit funcional con suficiente información para que Apple pueda reproducir el problema. Estos deberán enviarse a product-security@apple.com de forma cifrada.

La Asociación Libra parece estar dispuesta a demostrar que su proyecto es sólido y, sobre todo, seguro. Una fiabilidad que les podría costar conseguir teniendo en cuenta los problemas relacionados con la privacidad de los datos que ha tenido Facebook, su principal impulsor, en el pasado.

Para despejar cualquier tipo de duda han asumido como un mantra que "la seguridad de la cadena de bloques de Libra es lo más importante" y este martes han anunciado el lanzamiento de Libra Bug Bounty.

Un programa lanzado inicialmente en beta, y ahora abierto a cualquier investigador de seguridad, con el que poner a prueba la infraestructura que sostendrá la moneda de Facebook a cambio de recompensas económicas.

Libra Bug Bounty, el programa de recompensas a cambio de 'bugs'

Libra Bug Bounty fue lanzado tan pronto como se anunciaron los planes para Libra, el 18 de junio. El programa, entonces, fue abierto al medio centenar de investigadores de seguridad invitados por los responsables de la iniciativa. Profesionales con experiencia en el campo de las cadenas de bloques que fueron incitados a examinar la plataforma.

Ahora, después de haber afinado la infraestructura mínimamente, abren el programa a cualquier. "Nuestro programa de recompensas está diseñado para animar a los miembros de la comunidad de seguridad a profundizar, ayudándonos a encontrar incluso los errores más sutiles", explican. Y todo ello mientras la cadena de bloques de Libra todavía está en la red de pruebas y no hay dinero real en circulación.

Los responsables de la Asociación Libra señalan que los participantes en Libra Bug Bounty pueden recibir hasta 10.000 dólares estadounidenses en recompensas por descubrir los problemas más críticos.

Además de este programa, también se presentó una versión inicial del código Libra Blockchain, Libra Core, bajo una licencia Apache 2.0. La red de pruebas que les ayudará a "recopilar comentarios de la comunidad sobre la dirección del proyecto y trabajar para garantizar un lanzamiento escalable, fiable y seguro", aseguran.

Finalmente los rumores se han hecho realidad. Apple ha anunciado de manera oficial que amplían la cantidad que ofrecen a los hackers por encontrar vulnerabilidades en iPhones o Macs.

Y decimos que han ampliado la cifra porque a partir de ahora ofrecen hasta un millón de dólares a quienes reporten fallos de seguridad en sus productos (200.000 dólares más de lo que ofrecían hasta ahora).

Extienden el programa a macOS, watchOS y Apple TV

El millón de dólares será destinado íntegramente a los investigadores que puedan hackear el kernel (el epicentro de iOS), sin que el usuario tenga que hacer algún tipo de click para que sea activado.

También ofrecen 500.000 dólares a aquellos investigadores que sean capaces de hacer un "ataque a la red sin que se requiera la interacción del usuario". También existe una bonificación del 50% para aquellos que encuentren estos fallos de seguridad antes de que se lance el software oficialmente.

En Genbeta

Esto no lo he dicho yo en WhatsApp: investigadores de seguridad encuentran fallos que permiten alterar las conversaciones

Otra novedad importante es que este programa estará abierto a todos los investigadores, ya que hasta ahora sólo podían participar aquellos que habían sido invitados por parte de la compañía.

Tal y como decíamos hace unos días, Apple ha decidido lanzar un programa de recompensas para macOS, y han decidido ampliarlo para que también para watchOS y el sistema operativo del Apple TV.

Han anunciado todos estos cambios en el último día de la conferencia Black Hat, que se ha celebrado en Los Ángeles. Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad en Apple, ha sido el encargado de revelar todas estas novedades.

Apple giving out pre-jailbroken research iPhones to security researchers starting next year, and will pay up to $1M for zero click remote chain with persistence 📱 pic.twitter.com/uiJNhb8AD8

— Billy Ellis @ Blackhat/Defcon (@bellis1000) August 8, 2019

Además, se ha cumplido otro de los rumores que sonaban con fuerza, y Apple ofrecerá a los investigadores del programa 'iOS Security Research Device' un modelo de iPhone en el que es más fácil descubrir vulnerabilidades.

Hay que dejar claro que estos dispositivos estarán disponibles a partir de 2020 y sólo podrán acceder a ellos investigadores de primer nivel.

Muchas compañías tecnológicas tienen un programa de recompensas para que investigadores de seguridad se dediquen a buscar fallos en sus productos a cambio de dinero.

Forbes asegura que Apple va a lanzar un programa para que los expertos en ciberseguridad encuentren fallos tanto en iOS como en macOS. Para ello, aseguran que ofrecerán a los investigadores unos "iPhones especiales", que les facilitarán la tarea.

¿Recompensas en macOS?

Dichos iPhones serán entregados a un grupo de hackers de alto nivel que participarán en un programa de recompensas que funciona vía invitación. Tal y como anunciaron en 2016 en la conferencia sobre seguridad Black Hat, podrían llegar a ganar hasta 200.000 dólares.

Al parecer, estos "iPhones especiales" serán "versiones de desarrollo". Es decir, serán iPhones que permitirán a los investigadores realizar tareas que son más complicadas de llevar a cabo en un iPhone estándar.

En Genbeta

Un chico argentino de 19 años es el primer hacker que gana más de un millón de dólares reportando bugs

Este tipo de dispositivos permitirá a los hackers inspeccionar la memoria en busca de vulnerabilidades, pudiendo ver qué ocurre a nivel de código cuando intentan atacar el código de iOS.

De todos modos, dejan claro que estos iPhones no tendrán el mismo nivel de "apertura" que tienen los dispositivos que utilizan los empleados del equipo de seguridad en Apple. Por ejemplo, no les permitirán descifrar el firmware del iPhone.

Sobre el programa de recompensas de macOS no existe mucha información, y no sabemos si ofrecerán cifras cercanas a las que se anunciaron para iOS. Es algo que los investigadores llevan tiempo solicitando.

Por ejemplo, el pasado mes de febrero un investigador (Linus Henze, de 18 años) encontró un error en macOS que permitía a cualquier atacante espiar las contraseñas en el llavero del sistema. Henze se negó a dar detalles a Apple al no existir una recompensa económica.

Tendría bastante sentido que Apple anuncie un programa de recompensas para macOS, ya que esto motivaría a que muchos más investigadores puedan dedicar horas a encontrar fallos de seguridad en este sistema operativo.

Se espera que Apple ofrezca muchos más detalles sobre todo esto a finales de esta semana, de nuevo en la conferencia de seguridad Black Hat que se celebrará en Las Vegas.

Santiago Lopez, conocido en la comunidad de hackers éticos como @try___to___hack, se acaba de convertir en la primera persona que logra amasar más de un millón de dólares a través de programas de recompensas por reportar vulnerabilidades a diferentes empresas.

Su primera recompensa fue apenas por 50 dólares en 2016, y desde entonces ha reportado más de 1.600 vulnerabilidades únicas a compañías como Twitter, Wordpress, Verizon, y muchas más.

En Genbeta

Phreaking, phreaks y Blue Boxes: historia del hacking telefónico

Inspirado por la película 'Hackers' comenzó a aprender por su cuenta a los 16 años

En una entrevista con HackerOne, la plataforma de recompensas a través de la cual ha estado trabajando en su caza y reporte de bugs, Santiago explica que es un hacker autodidacta.

Aunque desde niño le gustaron los ordenadores y la programación, no sabía nada sobre el tema de _hacking_, ni siquiera sabía que existía hasta que vio la película "Hackers". A partir de ahí comenzó a leer blogs, ver vídeos de YouTube y observar tutoriales que aún usa para expandir sus conocimientos.

A través de la plataforma de HackerOne encuentra diferentes programas de recompensas por descubrir bugs y desde entonces se ha dedicado a encontrar tantos como sea posible. La recompensa más grande de todas las que ha recibido fue de 9.000 dólares por una _Server Side Request Forgery_ (SSRF) a través de un programa privado.

Santiago ve ser hacker como un trabajo normal, y usualmente lo hace durante 6 o 7 horas al día. El argentino, que prefiere hackear por su cuenta y no está muy enterado sobre la comunidad de hackers en su país, dice que le tomó bastante tiempo explicar a su familia que ser hacker no es ser un ladrón y una mala persona, y que se puede hacer dinero de forma legal siendo uno.

El mes pasado Apple se enfrentó a un grave bug de privacidad que afectó a FaceTime: cuando llamabas a otra persona podías escucharla antes de que pulsara el botón de descolgar.

La primera persona en descubrir este fallo de seguridad fue un adolescente de Estados Unidos. Él y su madre intentaron advertir a la compañía, pero parece que Apple solo reaccionó cuando la noticia llegó a los medios.

En Genbeta

Por qué Apple bloqueó las aplicaciones internas de Google y Facebook en iOS

Un bug que ya está solucionado

En una entrada publicada en su blog de seguridad, Apple da crédito a Grant Thompson como la persona que ha encontrado este bug. Grant tiene 14 años y actualmente vive en Arlington (Texas).

En dicha entrada, Apple deja claro que han corregido este fallo de seguridad, gracias a las actualizaciones para sus dos sistemas operativos: iOS 12.1.4 y macOS Mojave 10.14.3. Si tienes un dispositivo con iOS o macOS ya puedes ir a Ajustes para descargar la actualización que soluciona este error.

"Hemos solucionado el error de seguridad de FaceTime en Grupo en los servidores de Apple, y la próxima semana distribuiremos una actualización de software que activará de nuevo esta función para los usuarios".

Apple ha reconocido (vía The Verge) que compensarán económicamente a la familia Thompson, pero no han querido revelar la cantidad exacta (ofrecen hasta 200.000 dólares a los investigadores de seguridad que encuentren vulnerabilidades y las reporten).

Al parecer, con esta ayuda económica buscan apoyar al adolescente para que pueda ir a la universidad. De esta manera, Apple busca dar por finalizado este grave error, reconocer al autor del descubrimiento y recompensarle por ello.

Los hackers que se dedican a encontrar vulnerabilidades en aplicaciones y servicios populares ahora tienen más incentivo que nunca para vender sus hallazgos a empresas como Zerodium en lugar de las tecnológicas responsables del producto vulnerable.

Esta compañía se dedica a comprar y vender exploits y zero days, y para 2019 han decidido elevar significativamente sus recompensas, pagando hasta 2 millones de dólares por un jailbreak remoto de iOS y hasta 1 millón por hackear WhastApp o iMessage.

Zerodium es una startup que compra herramientas de hacking y las vende a gobiernos alrededor del mundo. Son empresas como estas a las que las autoridades tienen que pagar un buen dinero si quieren herramientas para interceptar las comunicaciones de criminales o terroristas.

Announcement: We are increasing our bounties for almost every product.
We're now paying $2,000,000 for remote iOS jailbreaks, $1,000,000 for WhatsApp/iMessage/SMS/MMS RCEs, and $500,000 for Chrome RCEs.
More information at: https://t.co/0NBRnq4I4y pic.twitter.com/vXDyxC3Q4v

— Zerodium (@Zerodium) 7 de enero de 2019

Terceros pagan mucho más que Google, Facebook, Microsoft y Apple por encontrar bugs en sus servicios

Aunque los fabricantes de dispositivos y proveedores de servicios tienen programas de recompensas a través de los cuales pagan buenas sumas de dinero a los hackers que reportan sus hallazgos, los números de Zerodium sin duda son más atractivos.

Por ejemplo, el mismo programa de recompensas de Microsoft llega a pagar hasta 250.000 dólares a quien encuentre vulnerabilidades graves de código de ejecución remota en Hyper-V. Es su mayor recompensa listada, una cifra que fue aumentada justo el año pasado.

Pero Zerodium llega a pagar hasta un millón de dólares por exploits de ejecución remota de código en Windows, han doblado la recompensa que ofrecían anteriormente de 500.000 dólares. Con semejante diferencia, no es difícil imaginar que un hacker prefiera vender a Zerodium que a Microsoft.

Apple tiene un programa de recompensas que lanzó en 2016, pero su máximo pago es de 200.000 dólares, algo que algunos expertos consideran insuficiente. Por su parte, Facebook, que tiene uno de los programas de recompensas más antiguos y maduros y ha pagado más de 7.5 millones de dólares desde que existe, pero apenas ha llegado a pagar un máximo de 50.000 dólares por recompensa. Bastante lejos del millón que ofrecen en Zerodium por un exploit en WhatsApp.

Google ofrece desde 100 a 31.337 dólares en su programa de recompensas por vulnerabilidades descubiertas que está en funcionamiento desde 2010. En contraste, Zerodium paga hasta 500.000 dólares por escalada de privilegios locales o ejecución de código remoto en Chrome o Android.

La empresa incluso ofrece pagar las recompensas en Bitcoin o Monero y en apenas una semana tras la revisión y aceptación de la oferta. Los investigadores de seguridad que se especialicen en vulnerabilidades de alto riesgo tienen mucho más incentivo monetario para vender a empresas como esta.

Y, la razón por la que WhatsApp y iMessage están tan alto en la pirámide de recompensas, es, cómo explicó el fundador de Zerodium a Motherboard, que muchas veces las apps de mensajería en general tienden a ser el único canal de comunicación que usan los objetivos, y como el cifrado hace difícil para sus clientes del gobierno el interceptar esas comunicaciones, tener la habilidad de comprometer esas apps directamente sin comprometer todo el dispositivo es mucho más estratégico y efectivo.

De hecho, dependiendo de que tan urgente sea la necesidad de hackear a alguien, los gobiernos pueden llegan a pagar hasta 4 millones de dólares por uno de estos exploits.

Ron Masas, investigador de seguridad de la compañía Imperva, descubrió un error de seguridad en Facebook que podría haber expuesto datos de todos los usuarios de la plataforma.

Afirman que este nuevo bug de Facebook permitía a cualquier página web obtener información acerca del perfil de los usuarios: me gusta, intereses, etc. Masas descubrió esta vulnerabilidad el pasado mes de mayo, momento en el que avisó a Facebook de este problema.

En Genbeta

Facebook reconoce su responsabilidad en el genocidio rohinyá en Myanmar

Una recompensa de 8.000 dólares

Según el informe de Imperva, cualquier página podía recopilar información de los perfiles sin ser percibido a través de un sencillo iframe. Al parecer, el sistema de resultados de búsqueda de la red social no disponía de los mecanismos adecuados de protección contra un tipo de exploit (CSRF).

En el siguiente vídeo podemos comprobar cómo, gracias a esta vulnerabilidad, Masas es capaz de ir recopilando intereses de un usuario de Facebook en tiempo real:

De esta manera, se podía recopilar datos valiosos acerca de los gustos de los usuarios: "¿le gusta correr?", "¿tiene amigos en México?". Afortunadamente, un portavoz de Facebook aseguró a TechCrunch mediante un comunicado que no se robaron datos de usuario utilizando este sistema.

Agradecemos el informe de este investigador a nuestro programa de recompensas de errores. Dado que el comportamiento subyacente no es específico de Facebook, hemos hecho recomendaciones a los fabricantes de navegadores y a los grupos de estándares web pertinentes para animarles a que tomen medidas para evitar que este tipo de problemas se produzcan en otras aplicaciones web.

Por haber encontrado e informado de este error, Facebook otorgó a Imperva 8.000 dólares (unos 7.000 euros) a modo de recompensa. La red social ha querido dejar claro que esta vulnerabilidad ya ha sido subsanada y han implementado protección contra ataques CSRF.

La crisis de los procesadores causada por las vulnerabilidades Meltdown y Spectre es una que continúa causando dolores de cabeza, no solo a Intel, sino a empresas como Microsoft por todos los problemas que ha representado intentar resolver el fallo en Windows.

Por eso la empresa ha lanzado un nuevo programa de recompensas que premiará a cualquier que encuentre la siguiente vulnerabilidad similar, es decir, que tengan que ver con la ejecución especulativa que realizan los procesadores. Las recompensar irán desde 5.000 hasta 250.000 dólares dependiendo de la severidad del bug.

El programa de recompensas funcionará hasta finales de 2018 y se regirá bajo los principios de la divulgación coordinada de vulnerabilidades, es decir que lo que se reporte a la empresa de divulgará de forma coordinada con los demás afectados de manera que haya tiempo suficiente para ejecutar soluciones.

La siguiente gran vulnerabilidad de ejecución especulativa.

Microsoft ha dicho que Meltdown y Spectre representaron grandes avances en la investigación de ese tipo de vulnerabilidades y que reconocen el gran cambio que representan este tipo de amenazas. Su plan de recompensas quiere motivar la investigación tanto para encontrar nuevos bugs como para potenciar sus mitigaciones.

Las recompensas más bajas (5.000 a 25.000 dólares) serán otorgadas a quienes descubran instancias conocidas de vulnerabilidades de ejecución especulativa en Windows 10 o Microsoft Edge.

Mientras que para optar por 100.000 a 250.000 dólares se deberán identificar una nueva categoría de ataques de ejecución especulativa que ni Microsoft ni otros en la industria conozcan.

Más información | Microsoft Security TechCenter
En Genbeta | Microsoft bloquea todas las actualizaciones de seguridad para Windows 7 y 8.1 si no tienes un antivirus
En Xataka Intel frena a Meltdown y Spectre: las actualizaciones funcionan y su impacto es reducido