Referencia.
Apple paga millones a quienes encuentren fallos
No solo estaría duplicando la recompensa, sino que amplía las categorías de investigación.
Apple ha decidido ofrecer recompensas de hasta 2 millones de dólares a quienes identifiquen vulnerabilidades críticas en sus sistemas, con la finalidad de reforzar la seguridad de sus plataformas frente a amenazas sofisticadas. Esta suma representa la mayor recompensa ofrecida hasta ahora por un programa oficial de “bug bounty” en la industria tecnológica.
El programa de recompensas de Apple, conocido como Apple Security Bounty, comenzó públicamente en 2019 (aunque databa de 2016) y ha entregado más de 35 millones de dólares, a más de 800 investigadores hasta la fecha, con premios individuales que en algunos casos superaron los 500.000 dólares.
La reciente modificación amplía las categorías que pueden ser exploradas, e introduce nuevas formas de medir la gravedad y explotabilidad de los fallos.
Una de las principales novedades es el sistema Target Flags, que obliga a los reportantes a demostrar objetivamente la explotabilidad de las vulnerabilidades, especialmente en áreas delicadas como ejecución remota de código o fallas en los controles de consentimiento y transparencia (TCC).
Además, Apple incluirá pagos acelerados: incluso antes de que se desarrolle una solución oficial, los investigadores podrán recibir recompensas si los fallos son válidos.
Las recompensas ahora cubren fallos aún más críticos, como la evasión del Modo de Bloqueo, vulnerabilidades en versiones beta, fallos que burlen Gatekeeper (con premio de 100.000 dólares), acceso no autorizado amplio a iCloud (1 millón de dólares), o escapes de sandbox WebKit con un clic (200.000 dólares). En ciertos casos combinados, los pagos totales podrían superar los 5 millones de dólares.
Las nuevas reglas y categorías entrarán en vigor en noviembre, momento en que Apple dará a conocer los montos exactos y detalles del programa actualizado. La iniciativa busca atraer tanto a investigadores independientes como a grupos organizados en ciberseguridad, ofreciendo incentivos sólidos para detectar fallos antes de que sean explotados maliciosamente.
