Un programa de recompensas por errores, también llamado programa de recompensas por vulnerabilidades (VRP), es una iniciativa de crowdsourcing que recompensa a las personas por descubrir y reportar errores de software. Los programas de recompensas de errores a menudo se inician para complementar las auditorías de código interno y las pruebas de penetración como parte de la estrategia de gestión de vulnerabilidades de una organización.
Muchos proveedores de software y sitios web ejecutan programas de recompensas por errores, que pagan recompensas en efectivo a investigadores de seguridad de software y piratas informáticos de sombrero blanco que informan sobre vulnerabilidades de software que tienen el potencial de ser explotadas. Los informes de errores deben documentar suficiente información para que la organización que ofrece la recompensa pueda reproducir la vulnerabilidad. Por lo general, los montos de pago son proporcionales al tamaño de la organización, la dificultad de piratear el sistema y el impacto que puede tener un error en los usuarios.
Mozilla pagó una recompensa de tarifa plana de $ 3,000 por errores que se ajustan a sus criterios, mientras que Facebook ha entregado hasta $ 20,000 por un solo informe de error. Google pagó a los reporteros de errores del sistema operativo Chrome un total de 700,000 dólares en 2012 y Microsoft pagó al investigador británico James Forshaw 100,000 dólares por una vulnerabilidad de ataque en Windows 8.1. En 2016, Apple anunció recompensas que alcanzan un máximo de $ 200,000 por una falla en los componentes del firmware de arranque seguro de iOS y hasta $ 50,000 por la ejecución de código arbitrario con privilegios del kernel o acceso no autorizado a iCloud.
Si bien el uso de piratas informáticos éticos para encontrar errores puede ser muy eficaz, estos programas también pueden ser controvertidos. Para limitar el riesgo potencial, algunas organizaciones ofrecen programas cerrados de recompensas por errores que requieren una invitación. Apple, por ejemplo, tiene una participación limitada en las recompensas de errores a unas pocas docenas de investigadores.