Apple está planeando un nuevo programa de recompensas que ofrecerá dinero en efectivo a cambio de descubrir vulnerabilidades en sus productos. Así lo anunció ayer jueves Ivan Krstic, líder de ingeniería de seguridad y arquitectura de Apple, en la conferencia Black Hat. El programa se lanzará en septiembre y ofrecerá recompensas para quienes descubran fallas actuales en la versión más reciente de iOS o de generaciones de hardware. Esta es la primera vez que Apple ofrece dinero explícitamente a cambio de esas fallas, informó The Verge.
Los programas de recompensas a cambio de encontrar ‘bugs’ se han vuelto una forma común de incentivar a las personas a informar a las compañías una vez descubren estas fallas. Uber, Fiat y el Departamento de Defensa de Estados Unidos lanzaron programas similares este año. Y otras compañías como Google, Microsoft y Facebook tienen este tipo de programas establecidos desde años. Google pagó más de 2 millones de dólares en recompensas el año pasado, principalmente por vulnerabilidades en Android.
Hasta ahora, Apple era una de las pocas grandes compañías de tecnología que no tenía un programa de recompensas. Antes solo usaba equipos internos de seguridad y alianzas informales con investigadores.
Esa anterior política hermética hizo que surgieran algunas críticas, debido al caso del iPhone de San Bernardino hace unos meses. Recordemos que el caso terminó cuando el FBI le compró a unos hackers una vulnerabilidad que permitía romper los esquemas de seguridad en el dispositivo.
El nuevo programa de Apple funcionará solo con invitación, la cual está por el momento solo para unas pocas decenas de investigadores. Sin embargo, la compañía dice que el programa se abrirá más al público a medida que crezca. Y si una persona particular se acerca a Apple con un ‘bug’ importante, se le invitará al programa para que trabaje en él.
Según el medio es inusual que un programa de recompensas como este funcione solo con invitaciones, pero Apple explicó que se hace necesario para descartar entregas falsas y asegurar que los investigadores de confianza tengan apoyo adecuado por parte de la compañía.
Además, por ahora el programa también estará limitado a cinco categorías de ‘bugs’, según TechCrunch. Primero, la categoría más valiosa intentará descubrir vulnerabilidades en los componentes de seguridad de arranque de firmware, con un premio de hasta 200.000 dólares. Segundo, vulnerabilidades que permiten extraer material confidencial de Secure Enclave, cuya recompensa sería de hasta 100.000 dólares. Tercero, ejecuciones de códigos arbitrarios o maliciosos, con premios de hasta 50.000 dólares. Cuarto, accesos a datos de cuentas de iCloud sin autorización, también de hasta 50.000 dólares. Y quinto, accesos de un proceso ‘sandboxed’ a datos de usuarios fuera del sandbox, con recompensas de hasta 25.000 dólares.
De acuerdo con el medio, aunque 200.000 dólares es una recompensa generosa (una de las más altas jamás ofrecida en programas de ‘bugs’), no se compara con los pagos que pueden recibir los investigadores por parte de agencias del Estado o en el mercado negro. Por ejemplo, se cree que el FBI le pagó a los hackers que abrieron el iPhone de San Bernardino casi un millón de dólares.
Imagen: Pixabay.
Que bueno que Apple siga los pasos de Google. Así perfecciona la seguridad de sus productos.