Es habitual que todas las empresas tecnológicas que producen software, especialmente sistemas operativos, paguen recompensas a empresas o particulares que descubren problemas de seguridad graves que permitan vulnerar la seguridad de sus dispositivos. Apple no es una excepción y durante años han estado pagando mucho dinero por el descubrimiento de vulnerabilidades de iOS, pero sin embargo dejaban macOS de lado, a pesar de que también tienen sus agujeros de seguridad, como cualquier otro sistema operativo.
Esta situación ha cambiado porque a partir de ahora Apple incluye también macOS en la lista de recompensas y además lo hace incrementando la cantidad de dinero que dan a cambio de ser notificados de una vulnerabilidad grave sin hacerla pública antes, obviamente, para que puedan tapar el agujero antes de que se haga público. La compañía ya había anunciado que tenían esta intención en el horizonte el pasado mes de agosto.
A partir de ahora, cualquier vulnerabilidad que alguien encuentre en iOS, macOS, tvOS, watchOS, o incluso iCloud y se reporte a Apple, tendrá recompensa. Antes, sólo se podía acceder a ese dinero si Apple te invitaba a investigar y encontrar problemas en iOS. Además, pagarán hasta un 50% más de dinero si ese problema se encuentra en versiones beta (de pruebas) de sus sistemas operativos. También pagarán dinero por encontrar regresiones, es decir, problemas de seguridad que ya se habían solucionado antes pero que por alguna razón han vuelto a aparecer sin que ellos se hayan dado cuenta.
Apple tiene ahora esta página en su web en donde dan a conocer las reglas de este programa de seguridad. Las condiciones que ponen para poder participar en este programa de recompensas, son;
- Ser el primero en reportar una vulnerabilidad determinada.
- Proveer una explicación clara de cómo reproducir el problema, incluyendo un programa que lo reproduce.
- No reportar este problema a nadie más hasta que Apple lo solucione.
Las recompensas ahora varían entre un millón de dólares por una vulnerabilidad que permita ejecutar código directamente en el Kernel (núcleo) con un programa propio, que se pueda reproducir persistentemente y los 100.000 dólares que dan por encontrar otros problemas, como por ejemplo acceso a información privada en iCloud.
Apple potencia así su capacidad para encontrar y solucionar problemas de seguridad, y al mismo tiempo consigue evitar que un Jailbreak para el iPhone o macOS pueda hacerse público porque si alguien encuentra vulnerabilidades que permitan hacer eso muy probablemente se verá tentado de hacer caja con Apple en lugar de ofrecérselo al público, como se hacía hace muchos años.