Apple ha decidido incrementar de manera significativa las recompensas que ofrece a los investigadores y los llamados hackers éticos que logran detectar vulnerabilidades desconocidas en iOS. Este movimiento lleva a Apple a la vanguardia de la seguridad informática en cuanto al dinero que ofrece y también refleja el contexto actual de los asuntos relacionados con las seguridad: la industria de spyware mercenario está en auge y las amenazas digitales son cada vez más peligrosas y abundantes. Apple hace esto no porque lo necesiten, sino porque es importante que esos descubrimientos de vulnerabilidades sea más tentadores dárselos a Apple que a una empresa que produzca spyware o malware.
¿En qué consiste el programa de recompensas (Bug Bounty) de Apple?
Apple lanzó su programa de “bug bounty” hace casi diez años, siguiendo una estrategia enfocada en atraer talento y recompensar el esfuerzo de quienes ayudan a reforzar la seguridad de sus dispositivos y software. En sus primeras etapas, este programa era exclusivo para un círculo reducido de investigadores, pero desde 2020 se abrió a cualquier experto capaz de descubrir y reportar fallos de seguridad.
Antes de la actualización anunciada este mes, la máxima recompensa potencial era de 200.000 dólares estadounidenses en 2016 (unos 190.000 euros) y aumentó a 1.000.000 de dólares en 2019 (aproximadamente 950.000 euros). Estas cifras ya eran referentes dentro de la industria, pero los fallos más graves, como aquellos que permiten desarrollar cadenas de ataques complejas o explotar dispositivos de manera invisible, merecen una revisión al alza.
El nuevo récord en recompensas
Este incremento de recomensas ha sido revelado por Ivan Krstić, vicepresidente de ingeniería y arquitectura de seguridad de Apple en la conferencia Hexacon de París. La recompensa máxima sube a dos millones de dólares (en torno a 1.900.000 euros) para casos especialmente difíciles de encontrar o particularmente graves: cadenas de exploits capaces de tomar totalmente el control del sistema a nivel de root, el super-usuario que puede administrar todo.
Pero este incremento tiene más dimensiones. Apple ahora contempla bonificaciones adicionales. Por ejemplo, si la vulnerabilidad logra superar el nuevo “Lockdown Mode”, una funcionalidad diseñada para proteger a usuarios de alto riesgo como periodistas, activistas y políticos, o si se descubre la vulnerabilidad durante el ciclo beta de desarrollo software, Apple eleva el premio total hasta los cinco millones de dólares, aproximadamente unos 4.750.000 euros al cambio actual.
Apple ha entregado ya más de 35 millones de dólares en recompensas
Se estima que Apple cuenta con más de 2.350 millones de dispositivos activos en todo el mundo. Desde la apertura pública de este programa de recompensas en 2020, increíblemente la compañía ha entregado más de 35 millones de dólares en recompensas a más de 800 investigadores, o quizás sea mejor decir hackers de guante blanco Si bien los premios millonarios son poco habituales, sí se han concedido varias recompensas de medio millón de dólares en los últimos años. El iPhone es un objetivo prioritario para muchos ciberdelincuentes. Hay mucho dinero en juego.
Nuevas categorías para formentar estudios de seguridad
Apple amplía también el alcance de su programa de recompensas por vulnerabilidades incluyendo nuevas categorías que antes no existían. Se premiarán, por ejemplo, ciertos tipos de exploits relacionados con WebKit, es decir, el motor web de Safari, que se utiliza en el navegador y también en cualquier otra App que muestre web views, es decir, contenido web en su interior. Estos ataques que aprovechan la proximidad inalámbrica con radios de cualquier tipo, algo cada vez más habitual porque cada vez utilizamos más dispositivos que se comunican inalámbricamente. Además, Apple sale ahora con el concepto de “Target Flags”, una adaptación del juego de capturar la bandera de los eventos de hacking, para que los investigadores puedan demostrar rápidamente la capacidad de las vulnerabilidades que han encontrado.
Apple también ha dado a conocer recientemente la llegada de la función Memory Integrity Enforcement en toda la gama iPhone 17 y el nuevo Air. Esta mejora intenta mitigar las vulnerabilidades más explotadas históricamente en iOS. Apple complementó este esfuerzo donando mil iPhones a organizaciones que protegen a grupos en riesgo de ataques digitales.
En conclusión, el aumento de las recompensas en el programa de recompensas de Apple marca un nuevo estándar en la industria y puede motivar a más hackers a colaborar con ellos al tener este fuerte incentivo monetario. Para los usuarios, estos avances nos supondrán un mayor nivel de seguridad y menos probabilidades de que tengamos bugs en el iPhone que puedan ser aprovechados para acceder a nuestros datos sin que lo sepamos. Tienes más detalles en Wired.
