Apple pagará 2 millones de dólares a investigadores que descubran vulnerabilidades

Apple elevó a 2 millones de dólares la recompensa máxima para quienes identifiquen cadenas de exploits similares a los ataques de spyware mercenario, un valor sin precedentes que redefine las prácticas en la industria de la ciberseguridad empresarial.

La empresa dirigida por Tim Cook ha comunicado que esta cifra representa el pago más elevado ofrecido hasta la fecha por un programa de recompensas por errores, según lo anunciado en su blog oficial.

El programa Apple Security Bounty, que comenzó a operar de manera pública en 2019 tras su lanzamiento inicial en 2016, tiene como objetivo detectar y corregir vulnerabilidades en sus sistemas antes de que puedan ser explotadas.

Desde su apertura, la compañía ha distribuido más de 35 millones de dólares en recompensas a más de 800 investigadores de seguridad, con varios informes individuales que han alcanzado los 500.000 dólares en compensación.

Con la actualización anunciada, Apple no solo duplica la recompensa máxima, sino que amplía las categorías de investigación y presenta un sistema de banderas denominado Target Flags.

Este nuevo formato permitirá a los investigadores demostrar de manera más objetiva la explotabilidad de vulnerabilidades en áreas clave, como la ejecución remota de código y las omisiones en Transparencia, Consentimiento y Control (TCC).

Además, la empresa ha señalado que, mediante este sistema, los participantes podrán acceder a recompensas aceleradas, incluso antes de que exista una solución disponible para la vulnerabilidad reportada.

El sistema de bonificaciones experimenta una gran expansión, permitiendo que las recompensas totales puedan superar los 5 millones de dólares.

Este esquema adicional está diseñado para incentivar la identificación de fallos sobre todo críticos, como la evasión del Modo de Bloqueo o la detección de vulnerabilidades en versiones beta del software.

En cuanto a las nuevas categorías, Apple ha incrementado los montos en áreas específicas para estimular una investigación más profunda. En este sentido, los expertos que logren eludir completamente el sistema Gatekeeper recibirán 100.000 dólares.

Aquellos que consigan un acceso amplio y no autorizado a iCloud serán recompensados con 1 millón de dólares, una cifra que hasta ahora no se había alcanzado por la ausencia de exploits conocidos en este ámbito.

El alcance de las recompensas se extiende a otras áreas de ataque. En el ámbito sandbox de WebKit, se otorgarán 200.000 dólares a quienes consigan escapar con un solo clic. Para vulnerabilidades relacionadas con la proximidad inalámbrica a través de cualquier radio, la compensación puede llegar hasta 1 millón de dólares.

Todas estas modificaciones y ampliaciones en el programa de recompensas de Apple entrarán en vigor a partir del próximo mes de noviembre, momento en el que se publicará la lista completa de nuevas categorías y los montos actualizados de las recompensas.

El aumento en la recompensa máxima y la expansión del programa de Apple atraen a un espectro más amplio de especialistas en ciberseguridad. El programa resulta valioso para académicos que estudian métodos de explotación y para grupos de respuesta a incidentes dentro de grandes organizaciones.

Investigadores independientes y consultores enfocados en malware avanzado, profesionales dedicados al análisis de exploits y especialistas en pruebas de penetración encuentran en este programa una oportunidad para capitalizar su experiencia en la detección de vulnerabilidades sofisticadas.

Expertos en arquitectura de sistemas, así como quienes desarrollan herramientas para evaluar mecanismos de seguridad, pueden participar en la identificación de fallas clave en el ecosistema de Apple.

Asimismo, la estructura de recompensas acelera la participación de quienes poseen conocimientos en vectores poco convencionales, como ataques inalámbricos o manipulación de sistemas de autenticación.