Valve quiere mejorar la seguridad de Steam, y te pagará si encuentras una vulnerabilidad

Escrito por Rubén Velasco
Seguridad

Varios de los aspectos más importantes para Steam, como la plataforma de juegos más grande de PC, son la privacidad y la seguridad, tanto de su plataforma como de todos los jugadores conectados a ella. Por ello, para poder garantizar esta máxima seguridad y privacidad a todos los usuarios conectados a ella, Valve ha decidido comenzar con un programa Bug Bounty con el que ofrece recompensas económicas a cambio de vulnerabilidades.

Utilizando la conocida plataforma HackerOne, Valve ha anunciado su nueva filosofía de seguridad, anunciando estas nuevas recompensas económicas a cambio de los fallos de seguridad. Dentro del concepto de seguridad, Valve quiere hacer un llamamiento a todos, tanto a los usuarios como a los desarrolladores internos, desarrolladores externos y a toda la comunidad, intentando conseguir entre todos una plataforma mucho más segura.

Los ámbitos que cubrirá este programa de recompensas de Steam son:

  • Cliente de Steam para Windows, Linux y macOS.
  • SteamCMD.
  • SteamOS.
  • Steamwork SDK.
  • App de Steam para Android y iOS.
  • Servidores de la plataforma y de sus juegos.
  • Fallos de seguridad en los juegos de Valve.
  • Fallos relacionados con los aspectos económicos de los juegos de Valve.
  • Las principales webs y plataformas (steampowered.com, steamcommunity.com, steamgames.com, valvesoftware.com, counter-strike.net, dota2.com, teamfortress.com) así como sus subdominios.

Eso sí, hay varios tipos de fallos de seguridad que no entran dentro de este programa Bug Bounty, como ataques DoS, fallos que permitan Spam, ingeniería social y ataques físicos contra la propiedad de Valve o los centros de datos. Tampoco se admitirán fallos hipotéticos sin demostrar, nada que requiera acceso físico a los servidores de Valve, Clickjacking, ataques XSS por usar navegadores obsoletos ni fallos que se deban al uso de extensiones o herramientas de terceros no oficiales.

Big Picture Steam

¿Cuánto me puede pagar Valve por estos fallos de seguridad en Steam?

Si consiguen encontrar un fallo de seguridad que entre dentro de los requisitos de este programa Bug Bounty, Valve está dispuesta a pagar en función de la nota CVSS que se dé a la vulnerabilidad:

  • Fallo de seguridad leve (entre 0 y 3.9 de nota): desde 0 hasta 200 dólares.
  • Fallo de seguridad medio (entre 4 y 6.9 de nota): desde 250 hasta 1000 dólares (incluso más de 1000).
  • Fallo de seguridad alto (entre 7 y 8.9 de nota): desde 500 hasta 2000 dólares (incluso más de 2000).
  • Fallo de seguridad crítico (entre 9 y 10 de nota): desde 1500 dólares hasta un máximo no especificado.

Actualmente Valve tiene varios fallos de seguridad críticos abiertos en esta plataforma, fallos que se están analizando pero que ya son públicos para evitar que otros investigadores lo manden repetido, estando la mayoría de estos dominios en la compañía, y cumpliendo la mayoría de ellos los requisitos para optar a la recompensas.

En estos momentos, Valve ha pagado ya 108.100 dólares en recompensas por las vulnerabilidades, un total 179 fallos de seguridad resueltos. La vulnerabilidad más cara que ha pagado Valve a un investigador ha sido de 3000 dólares.

¿Qué otros aspectos, además de la seguridad, debería mejorar Steam?

Compártelo. ¡Gracias!
Continúa leyendo