Apple está dispuesta a pagar lo que sea necesario para evitar que los descuidos sean aprovechados por manos indebidas. La empresa anunció una actualización en su programa Security Bounty, que hace casi una década ofrece pagos considerables a quienes puedan encontrar vulneraciones en el sistema. Pero ahora redobló la apuesta, con bonificaciones que superan los U$S 2 millones.
Google AI Pro gratis por un año para estudiantes: qué países pueden accederLa compañía de la manzana mordida subió la apuesta en su programa de recompensas por la identificación de exploits, fragmentos de código, software o técnica que aprovecha fallas en un sistema y pueden utilizarse para el desarrollo de spyware. Los pagos que en 2016 eran U$S 200.000 y un millón en 2019 ahora se actualizaron hasta los dos millones.
Recompensas duplicadas
En la conferencia de seguridad ofensiva Hexacon, celebrada el viernes en París, el vicepresidente de ingeniería y arquitectura de seguridad de Apple, Ivan Krstić, anunció esta nueva recompensa. La revisión entrará en vigor en noviembre de este año e incluye categorías de vulnerabilidad ampliadas, nuevas herramientas de validación objetiva e incentivos mayores dirigidos a las técnicas de ataque más sofisticadas.
El programa actualizado está diseñado para adaptarse mejor a la complejidad y el coste de las cadenas de exploits que se observan en la práctica, en particular las vinculadas a proveedores de spyware mercenario y adversarios estatales. Desde su lanzamiento en 2020, el programa Security Bounty de Apple ha pagado más de 35 millones de dólares a más de 800 investigadores, con múltiples pagos individuales que alcanzan los 500.000 dólares
Los números de las recompensas de Apple
El programa de recompensas de seguridad de Apple se centra en vulnerabilidades en todas sus plataformas, incluyendo iOS, macOS, watchOS, tvOS, iPadOS y la nueva versión de visionOS, abarcando tanto software como hardware. La renovada estructura de recompensas prioriza específicamente las cadenas de exploits completas sobre errores aislados y prioriza el impacto práctico y demostrable sobre las vulnerabilidades teóricas, según señalaron desde Cyberinsider.
Entre los aspectos más destacados del programa actualizado:
- Se ofrece una recompensa máxima de U$S 2 millones por cadenas de explotación remotas de clic cero que reflejen técnicas utilizadas por operaciones de software espía avanzado.
- Hasta un millón de dólares para escapes de sandbox de WebKit con un solo clic, exploits de proximidad inalámbrica y amplio acceso a iCloud , ninguno de los cuales ha sido demostrado con éxito hasta la fecha.
- Recompensa de U$S 100.000 por una omisión completa y sin interacción del Gatekeeper en macOS , lo que marca la primera vez que Apple incentiva esta ruta de ataque particular a tal escala.