Desde 50.000 euros hasta un millón. Es lo que te paga Apple si encuentras esto en tu dispositivo

Hay una particularidad que distingue a Apple y que no es ni su particular ecosistema, ni su diseño distintivo: se trata de su seguridad. La marca de Cupertino ha creado, junto a su sistema operativo, un entorno muy seguro. Y gran parte de ello se debe al programa de Recompensas de Seguridad de Apple.

Esta iniciativa es lo que ha permitido que Apple tenga refuerzos en todos los apartados, tanto de software como de hardware. La idea es sencilla: si enviamos una investigación sobre una vulnerabilidad de seguridad o privacidad, el informe podría ser considerado para una recompensa.

Pero hay más. Si tenemos conocimientos específicos y creemos que podemos hackear un servidor de Apple, la compañía nos pagaría hasta un millón de euros. Y esto aumenta cada vez que Apple lanza un nuevo producto (cualquier, desde unos cascos, hasta una tableta, ordenador o smartphone) o una actualización.

Por ejemplo, cuando Apple se preparó para el lanzamiento oficial de su servicio basado en IA, la compañía se centra naturalmente en la seguridad. Si bien gran parte del procesamiento de las solicitudes de Apple Intelligence se realizará en tu dispositivo, algunas deberán ser gestionadas por los servidores de Apple. Conocidos colectivamente como Computación en la Nube Privada (PCC), estos servidores deben estar reforzados contra cualquier tipo de ciberataque o hackeo para protegerse del robo y la vulneración de datos.

Como es habitual, después de anunciar Apple Intelligence, la compañía invitó a investigadores de seguridad y privacidad a inspeccionar y verificar la seguridad y privacidad de extremo a extremo de los servidores. Apple incluso dio a ciertos investigadores y auditores acceso a un Entorno de Investigación Virtual (ERV) y otros recursos para ayudarles a probar la seguridad de PCC. Ahora, la compañía abre la puerta a cualquiera que intente hackear su colección de servidores.

Para dar ventaja a los usuarios, Apple ha publicado una Guía de Seguridad de Computación en la Nube Privada. Allí se explica cómo funciona una PCC, centrándose especialmente en cómo se autentican las solicitudes, cómo inspeccionar el software que se ejecuta en los centros de datos de Apple y cómo la privacidad y la seguridad de PCC están diseñadas para resistir diferentes tipos de ciberataques.

El Entorno de Investigación Virtual (ERV) también está abierto a cualquiera que compita por la recompensa por errores. Al ejecutarse en una Mac, este entorno virtual (básicamente un ordenador conectado, pero en un entorno muy vigilado) permite inspeccionar las versiones de software, descargar los archivos de cada versión, iniciar una versión en un entorno virtual y utilizar el software ver sus posibles vulnerabilidades.

El programa está diseñado para descubrir vulnerabilidades en tres áreas principales y cada una de ellas tiene su recompensa específica.

La divulgación accidental de datos, por ejemplo, analiza vulnerabilidades que exponen datos debido a fallos de configuración o problemas de diseño del sistema. La recompensa por ello es de 50.000 euros.

También se puede intentar detectar un compromiso externo por solicitudes de usuario. Se trata de vulnerabilidades que permiten a los atacantes explotar las solicitudes de los usuarios para obtener acceso no autorizado. Y, finalmente, el menú de Apple para premiar a quienes encuentren vulnerabilidades en su ecosistema incluye aquellas vulnerabilidades en las que el acceso a las interfaces internas permite comprometer el sistema.

Cada uno de estos “platos” tiene su precio, según específica la propia Apple en su web. Este es el menú.

Divulgación accidental o inesperada de datos debido a un problema de implementación o configuración: €50.000

Capacidad para ejecutar código no certificado: €100.000

Acceso a los datos de solicitud de un usuario u otros datos confidenciales del usuario fuera del límite de confianza: €150.000

Acceso a los datos de solicitud de un usuario o a información confidencial sobre sus solicitudes fuera del límite de confianza: €250.000

Ejecución arbitraria de código sin el permiso o conocimiento del usuario con derechos arbitrarios: €1.000.000

Y, por si fuera poco, Apple también promete considerar la posibilidad de otorgar una compensación económica por cualquier problema de seguridad vinculado a la marca, incluso si no se encuentra en una categoría publicada.

Aquí, la empresa evaluará su informe según la calidad de su presentación, las pruebas de lo que se puede explotar y el impacto en los usuarios. Toda la información para presentar un informe se encuentra en esta web de Apple.