El vicepresidente de Apple, Ivan Krstić, señaló que la compañía subió la barra de su programa de recompensas: ahora pagará hasta USD 2 millones por una cadena de exploits (vulnerabilidades encadenadas) de software que puedan ser aprovechadas por spyware. Con bonificaciones adicionales, la cifra podría llegar a USD 5 millones para ataques que vulneren el iPhone.

Desde que lanzó su bug bounty hace casi una década, Apple ha ofrecido premios máximos llamativos: USD 200.000 en 2016 y USD 1 millón en 2019. La nueva escalada se anunció en Hexacon, conferencia de seguridad ofensiva realizada en París, donde Krstić—vicepresidente de Ingeniería y Arquitectura de Seguridad—presentó el nuevo tope de USD 2 millones por cadenas de explotación especialmente peligrosas.

¿Por qué tanto? Porque en el ecosistema Apple, altamente protegido, las exploits valen oro. La compañía prefiere que esos hallazgos lleguen a sus manos y no al mercado negro. Además del pago principal, el programa incluye bonos para quienes logren eludir el Modo de Bloqueo (la capa extra de seguridad), o descubran fallos mientras el software está en beta. Sumadas, esas bonificaciones pueden llevar el premio hasta USD 5 millones. Los cambios entran en vigor el próximo mes.

“Estamos dispuestos a pagar muchos millones de dólares por los casos más complejos, los que se parecen a los ataques con software espía mercenario. Queremos que los investigadores con esas habilidades reciban una recompensa enorme por su esfuerzo”, afirmó Krstić.

Un programa que crece

Apple afirma tener más de 2.350 millones de dispositivos activos en el mundo. Su bug bounty empezó por invitación a investigadores destacados, pero desde 2020 está abierto al público. Desde entonces, asegura haber pagado más de USD 35 millones a 800+ especialistas en seguridad. Los premios más altos son poco frecuentes, pero la empresa dice haber realizado múltiples pagos de USD 500.000 en los últimos años.

Nuevas categorías y “banderas objetivo”

Junto con el aumento de premios, Apple amplía las categorías para incluir ciertos exploits de WebKit de “un solo clic”(la infraestructura del navegador) y ataques de proximidad inalámbrica usando cualquier tipo de radio. También introduce “Target Flags”, una modalidad inspirada en capture the flag que lleva esas pruebas al mundo real para que los investigadores demuestren rápidamente la eficacia de sus exploits.

Inversión a largo plazo en defensa

El bug bounty es una de varias apuestas de Apple para reducir vulnerabilidades críticas y bloquear su explotación. Tras más de cinco años de trabajo, la empresa anunció una protección de seguridad para la nueva línea iPhone 17 llamada Memory Integrity Enforcement (refuerzo de integridad de memoria). El objetivo es neutralizar una de las clases de fallos más explotadas en iOS y proteger a los grupos de alto riesgo—activistas, periodistas, políticos—, elevando de paso la defensa para todos los usuarios. Como parte de ese esfuerzo, Apple donará mil iPhone 17 a organizaciones que apoyan a personas en riesgo de ataques digitales dirigidos.

“Puede parecer un gran esfuerzo para un grupo pequeño de usuarios, pero hay un historial claro de abuso con spyware mercenario”, señaló Krstić. “Tenemos una obligación moral de defenderlos. Este trabajo termina elevando la protección para todos”.