Microsoft lanzó oficialmente su “Programa de Recompensas de Microsoft Copilot”, una iniciativa que invita a investigadores de seguridad de todo el mundo a descubrir fallas críticas en su sistema de inteligencia artificial. ¿La recompensa? Montos que van desde 250 dólares (cerca de 975.000 pesos colombianos) hasta los 30.000 dólares (más de 117 millones de pesos), dependiendo de la gravedad y calidad del hallazgo.
El objetivo del programa es encontrar vulnerabilidades reales, críticas o moderadas que afecten directamente la seguridad de los usuarios de Microsoft Copilot, el sistema de IA que ahora está integrado en navegadores, aplicaciones móviles, sistemas operativos y plataformas de mensajería como WhatsApp y Telegram.
Para aplicar, los investigadores deben tener una cuenta personal de Microsoft y enviar sus hallazgos a través del Portal de investigadores del MSRC, seleccionando la opción “Copilot, AI+ML y LLMs”. Microsoft evaluará cada envío de manera individual y, si cumple los requisitos, otorgará un pago acorde al tipo de vulnerabilidad, su impacto y la calidad del informe.
¿Quiénes pueden aplicar?
Cualquier persona con conocimientos en ciberseguridad puede participar. No se necesita estar vinculado a una empresa ni tener certificaciones específicas, aunque se espera un manejo técnico avanzado. Eso sí, no se permite hacer pruebas con datos ajenos ni realizar ataques que afecten a usuarios reales.
¿Cuánto se puede ganar?
Las recompensas dependen del tipo y severidad de la vulnerabilidad encontrada. Estas son algunas cifras clave, traducidas al valor actual del peso colombiano (COP):
| Tipo de ataque | Gravedad | Monto en USD | Aproximado en COP |
|---|---|---|---|
| Manipulación de IA (crítica, alta calidad) | Crítica | $30,000 | $117.000.000 |
| Inyección de código (media calidad) | Importante | $10,000 | $39.000.000 |
| Fallo de validación de entrada (baja calidad) | Moderado | $1,000 | $3.900.000 |
| XSS o CSRF simple | Bajo | $250 | $975.000 |
Microsoft busca vulnerabilidades críticas en su herramienta Copilot. Entre los errores más valorados están la manipulación de inferencias, donde el modelo puede ser inducido a dar respuestas alteradas o sesgadas, y la deserialización de datos no confiables, que puede comprometer la integridad del sistema.
También se consideran graves las inyecciones de código o comandos, los problemas de autenticación y las fallas en la configuración de seguridad web. Estas vulnerabilidades deben ser reproducibles en entornos actualizados y con cuentas personales de prueba.
Las plataformas incluidas en el programa son copilot.microsoft.com, Microsoft Edge en Windows, las apps móviles de Copilot en iOS y Android, así como las experiencias de IA de Copilot en WhatsApp y Telegram. Todos los hallazgos deben probarse desde una cuenta personal.
Te puede interesar: Abren convocatoria internacional para proyectos científicos entre América del Sur y Francia con financiación de hasta 20.000 euros
Por otro lado, Microsoft no considera elegibles los errores menores como fallas tipográficas, respuestas incorrectas del chat o vulnerabilidades que solo afectan al atacante. Tampoco se premian errores ya divulgados, ni aquellos que dependan de software externo como Apache o IIS.
Para participar, basta con crear una cuenta personal de Microsoft y acceder a copilot.microsoft.com. Es importante leer las reglas del programa para evitar sanciones por pruebas mal ejecutadas o accesos indebidos a datos.
Una vez que detectes una vulnerabilidad, documenta el hallazgo de forma clara. Asegúrate de incluir los pasos para reproducirla y súbelo al portal del Microsoft Security Response Center (MSRC). También se debe incluir el ID de la conversación generado con el comando “/id”.
Imagen: Archivo ENTER.CO
