Apple ha incrementado la recompensa máxima de su programa de recompensas por fallos (bug bounty) a 2 millones de dólares. Este programa, que se lanzó hace casi una década, ha ofrecido importantes pagos máximos, incluyendo $200,000 en 2016 y $1 millón en 2019.
El anuncio fue realizado por Ivan Krstić, vicepresidente de ingeniería de seguridad y arquitectura de Apple, en la conferencia de seguridad ofensiva Hexacon en París. La recompensa de 2 millones de dólares se otorgará por una cadena de exploits de software que puedan ser utilizados para actividades de espionaje.
Esta medida subraya el valor que tienen las vulnerabilidades explotables dentro del entorno móvil de Apple, que está altamente protegido, y los esfuerzos que la compañía está dispuesta a realizar para evitar que tales descubrimientos caigan en manos equivocadas. El programa de recompensas por fallos de la compañía también incluye una estructura de bonificaciones, que añade premios adicionales por exploits que puedan eludir su Modo Lockdown, que ofrece seguridad adicional, así como por aquellos descubiertos mientras el software de Apple aún está en su fase de pruebas beta. En conjunto, la recompensa máxima por lo que de otro modo sería una cadena de exploits potencialmente catastrófica ascenderá ahora a 5 millones de dólares. Los cambios entrarán en vigor el próximo mes.
“Estamos preparándonos para pagar muchos millones de dólares aquí, y hay una razón”, dijo Krstić a WIRED. “Queremos asegurarnos de que para las categorías más difíciles, los problemas más difíciles, las cosas que más se asemejan a los tipos de ataques que vemos con el software espía mercenario, los investigadores que tienen esas habilidades y capacidades y dedican ese esfuerzo y tiempo puedan obtener una tremenda recompensa”.
Apple informa que hay más de 2.350 millones de dispositivos activos en todo el mundo. El programa de recompensas por fallos de la compañía era originalmente un programa solo por invitación para investigadores destacados, pero desde que se abrió al público en 2020, Apple dice que ha otorgado más de 35 millones de dólares a más de 800 investigadores de seguridad. Los pagos máximos son muy raros, pero Krstić dice que la compañía ha realizado múltiples pagos de 500.000 dólares en los últimos años.
Expansión de categorías y nuevas ofertas
Además de las recompensas potenciales más elevadas, Apple también está ampliando las categorías del programa de recompensas por fallos para incluir ciertos tipos de exploits de infraestructura de navegador “WebKit” de un solo clic, así como exploits de proximidad inalámbrica llevados a cabo con cualquier tipo de radio. También hay una nueva oferta conocida como “Target Flags” que incorpora el concepto de competiciones de hacking de captura de la bandera en pruebas del software de Apple en el mundo real para ayudar a los investigadores a demostrar las capacidades de sus exploits de forma rápida y definitiva.
Inversión en seguridad y protección de usuarios
El programa de recompensas por fallos de Apple es solo una de las muchas inversiones a largo plazo destinadas a reducir la prevalencia de vulnerabilidades peligrosas o a bloquear su explotación. Por ejemplo, después de más de cinco años de trabajo, la compañía anunció el mes pasado una protección de seguridad en la nueva línea de iPhone 17 que tiene como objetivo anular la clase de errores de iOS más frecuentemente explotada. Conocida como Memory Integrity Enforcement, la función es un gran paso destinado a proteger a una pequeña minoría de los grupos más vulnerables y altamente específicos de todo el mundo, incluidos activistas, periodistas y políticos, al tiempo que añade defensa para todos los usuarios de los nuevos dispositivos. Con ese fin, la compañía anunció el viernes que donará mil iPhone 17 a grupos de derechos que trabajan con personas en riesgo de sufrir ataques digitales dirigidos.
“Se puede decir, bueno, eso parece un esfuerzo muy grande para proteger solo a ese pequeño número de usuarios que están siendo atacados por software espía mercenario, pero existe este historial incontrovertible descrito por periodistas, compañías tecnológicas y organizaciones de la sociedad civil de que estas tecnologías están siendo constantemente abusadas”, dice Krstić. “Y sentimos una gran obligación moral de defender a esos usuarios. A pesar de que la gran mayoría de nuestros usuarios nunca serán atacados por algo así, este trabajo que hicimos terminará aumentando la protección para todos”.
Esta historia apareció originalmente en wired.com.
Fuente original: ver aquí