Apple ofrece 2 millones de dólares a quienes encuentren sus vulnerabilidades más peligrosas

Desde que lanzó su programa de recompensas por fallos hace casi una década, Apple siempre ha promocionado notables pagos máximos: 200,000 dólares en 2016 y un millón de dólares en 2019. Ahora la compañía vuelve a subir la apuesta. En la conferencia de seguridad ofensiva Hexacon, celebrada el viernes en París, el vicepresidente de ingeniería y arquitectura de seguridad de Apple, Ivan Krstić, anunció un nuevo pago máximo de 2 millones de dólares por una cadena de exploits (vulnerabilidades explotadas) de software que podrían utilizarse indebidamente para programas espía.

La medida refleja lo valiosas que pueden ser las exploits en el ecosistema Apple, altamente protegido, y lo lejos que llegará la empresa para evitar que tales descubrimientos caigan en malas manos. Además de los pagos individuales, la recompensa por fallos de la compañía también incluye una estructura de bonificación, añadiendo premios adicionales para los exploits que puedan eludir su modo de bloqueo extra seguro, así como los descubiertos mientras el software de Apple se encuentra todavía en su fase de pruebas beta. En conjunto, la recompensa máxima por lo que de otro modo sería una cadena de vulnerabilidades potencialmente catastrófica será ahora de 5 millones de dólares. Los cambios entrarán en vigor el mes que viene.

«Estamos dispuestos a pagar muchos millones de dólares, y hay una razón. Queremos asegurarnos de que, en los problemas más complejos, los que más se asemejan a los ataques que vemos con software espía mercenario, los investigadores que poseen esas habilidades y dedican ese esfuerzo y tiempo puedan obtener una recompensa enorme», declara Krstić a WIRED.

Cómo comenzó el bug bounty

Apple afirma que hay más de 2,350 millones de sus dispositivos activos en todo el mundo. El bug bounty (programa de recompensas por errores) de la compañía fue originalmente un programa solo por invitación para investigadores prominentes, pero desde que se abrió al público en 2020, Apple dice que ha otorgado más de 35 millones de dólares a más de 800 investigadores de seguridad. Los pagos más altos son muy raros, pero Krstić dice que la compañía ha hecho múltiples pagos de 500,000 en los últimos años.

Además de mayores recompensas potenciales, Apple también está ampliando las categorías de la recompensa por fallos para incluir ciertos tipos de exploits de infraestructura de navegador «WebKit» de un solo clic, así como los de proximidad inalámbrica llevados a cabo con cualquier tipo de radio. Y hay incluso una nueva oferta conocida como «Target Flags» que traslada el concepto de las competiciones de hacking de capturar la bandera a las pruebas en el mundo real del software de Apple para ayudar a los investigadores a demostrar las capacidades de sus exploits de forma rápida y definitiva.

La recompensa por fallos de Apple es solo una de las muchas inversiones a largo plazo destinadas a reducir la prevalencia de vulnerabilidades peligrosas o a bloquear su explotación. Por ejemplo, tras más de cinco años de trabajo, la empresa anunció el mes pasado una protección de seguridad en la nueva línea iPhone 17 que pretende anular la clase de fallos de iOS explotados con más frecuencia. Conocida como Memory Integrity Enforcement (refuerzo de la integridad de la memoria), la función es un gran paso adelante destinado a proteger a una pequeña minoría de los grupos más vulnerables y altamente atacados en todo el mundo, incluidos activistas, periodistas y políticos, al tiempo que añade defensa para todos los usuarios de los nuevos dispositivos. Para ello, la empresa anunció el viernes que donará mil iPhone 17 a grupos de defensa de los derechos que trabajan con personas en riesgo de sufrir ataques digitales selectivos.

«Se puede decir que es un gran esfuerzo para proteger a un número muy reducido de usuarios que son objetivo de programas espía mercenarios, pero existe un historial indiscutible, descrito por periodistas, empresas tecnológicas y organizaciones de la sociedad civil, de que se abusa constantemente de estas tecnologías», indica Krstić. Añade que la compañía tiene la «obligación moral» de defender a esos usuarios, a pesar de que la mayoría de ellos jamás serán objetivo de algo así: «Este trabajo que hicimos acabará aumentando la protección para todos».

Artículo publicado originalmente en WIRED. Adaptado por Alondra Flores.