¿Puedes encontrar vulnerabilidades en el ecosistema de Apple? Te esperan 5 millones de dólares

Todas las grandes compañías tecnológicas tienen programas de recompensas para quienes encuentren vulnerabilidades en su software. Apple, desde hace casi una década. En 2016 ofrecía hasta 200.000 dólares; subió a 1 millón en 2019 y ahora se ha convertido en la compañía que mejor recompensa este tipo de hallazgos subiendo de nuevo el máximo. Ivan Krstić, vicepresidente de ingeniería y arquitectura de seguridad de Apple, anunció el pasado viernes en la conferencia de seguridad Hexacon, celebrada en París, una recompensa de hasta 2 millones de dólares por una cadena de exploits de software que pueda utilizarse con fines de spyware.

El movimiento demuestra el interés de Apple en evitar que una vulnerabilidad pueda ser utilizada por ciberdelincuentes. Además de los pagos individuales -es decir, por cada informe validado-, el programa cuenta con un sistema de bonificaciones que ofrece premios adicionales.

Si un investigador presenta un informe que demuestre una cadena de exploits capaz de convertir un iPhone en objetivo de spyware, Apple realizará un único pago por ese hallazgo que puede alcanzar los 2 millones de dólares. Si además cumple los criterios de bonificación -por ejemplo, si fue descubierto durante una beta y logra superar las defensas del Lockdown Mode o Modo de aislamiento del iPhone-, el pago único aumentará.

En conjunto, la recompensa máxima por una cadena de vulnerabilidades potencialmente catastrófica asciende ahora a 5 millones de dólares, la cifra más alta de la industria. Los cambios entrarán en vigor el próximo mes.

'Estamos preparados para pagar muchos millones de dólares y hay una razón para ello. Queremos asegurarnos de que, en las categorías más difíciles, en los problemas más complejos y en aquellos que más se asemejan a los ataques que vemos con spyware mercenario, los investigadores que poseen esas habilidades y dedican ese tiempo y esfuerzo puedan recibir una recompensa extraordinaria', señaló Krstić.

Apple afirma que más de 2.350 millones de sus dispositivos están activos en todo el mundo. Su programa de recompensas nació como una iniciativa exclusiva por invitación, pero desde que se abrió al público en 2020, la compañía ha repartido más de 35 millones de dólares entre más de 800 expertos en seguridad. Las recompensas más altas son poco frecuentes, aunque Krstić ha confirmado que en los últimos años se han concedido varios pagos de 500.000 dólares.

Además de elevar los límites económicos, Apple ha ampliado las categorías del programa para incluir determinados exploits de tipo one-click que pueden afectar a WebKit, el motor que usa el navegador Safari, así como vulnerabilidades inalámbricas de proximidad que se ejecuten mediante cualquier tipo de señal inalámbrica. También introduce una nueva modalidad llamada Target Flags que traslada el formato de las competiciones tipo Capturar la bandera a pruebas reales sobre el software de Apple, permitiendo que los investigadores demuestren de forma rápida y concluyente la eficacia de sus hallazgos.

Como mejor pagador por encontrar vulnerabilidades, Apple lidera con claridad, seguida por Google, que ofrece hasta 1,5 millones de dólares en algunos supuestos. Meta paga hasta 300.000 dólares, mientras que Microsoft alcanza un máximo de 250.000 dólares.