Home Sociedad Apple pagará hasta 1,5 millones de dólares por encontrar vulnerabilidades

Apple pagará hasta 1,5 millones de dólares por encontrar vulnerabilidades

Apple finalmente está dando a los investigadores de seguridad algo que han querido durante años: una recompensa por encontrar fallos en macOS.

El gigante de la tecnología anunció que lanzará el programa de recompensas de errores para incluir Macs y MacBooks, así como Apple TV y Apple Watch, casi exactamente tres años después de que hiciera lo propio para encontrar errores en iOS.

La idea es simple: encuentras una vulnerabilidad, la revelas a Apple, ellos la arreglan y a cambio recibes un pago en efectivo. Estos programas son muy populares en la industria de la tecnología, ya que ayudan a financiar a los investigadores de seguridad a cambio de graves defectos de seguridad que de otro modo podrían ser utilizados por actores maliciosos, y también ayudan a llenar el vacío de los buscadores de insectos que venden sus vulnerabilidades para explotar a los corredores, y en el mercado negro, que podrían abusar de los defectos para llevar a cabo la vigilancia.

Apple demoró más de la cuenta, la puesta en marcha de un programa de recompensas por detectar vulnerabilidades en su gama de ordenadores. De hecho, algunos investigadores de seguridad se habían negado rotundamente a informar a Apple de los fallos de seguridad en ausencia de una recompensa por los errores.

En la conferencia Black Hat en Las Vegas, el jefe de ingeniería de seguridad y arquitectura, Ivan Krstić, anunció que el programa se ejecutaría junto con su actual recompensa por errores de iOS.

Patrick Wardle, experto en seguridad e investigador principal de seguridad de Jamf, dijo que la mudanza fue “sin pensarlo”.

Wardle ha encontrado varias vulnerabilidades de seguridad importantes y ha reducido los días cero (los detalles de los fallos se publican sin dar a las empresas la oportunidad de corregirlos), citando la falta de una recompensa por los fallos de macOS. Durante mucho tiempo ha criticado a Apple por no tener una recompensa por los bichos, acusando a la compañía de dejar un vacío abierto para que los investigadores de seguridad vendan sus defectos para explotar a los corredores que a menudo utilizan las vulnerabilidades por razones nefastas.

“Es cierto que contrataron a muchos investigadores y profesionales de la seguridad increíblemente talentosos, pero que en realidad nunca tuvieron una relación transparente y mutuamente beneficiosa con investigadores externos independientes”, expresó Wardle.

“Seguro que es una victoria para Apple, pero en última instancia es una gran victoria para los usuarios finales de Apple”, añadió.

Apple dijo que abrirá su programa de recompensas de errores a todos los investigadores y aumentará el tamaño de la retribución desde el máximo actual de 200.000 dólares por hazaña, hasta 1,5 millones de dólares por un ataque de ejecución de código del núcleo de cadena completa con un clic cero. En otras palabras, si un atacante puede obtener el control completo de un teléfono sin ninguna interacción del usuario y simplemente conociendo el número de teléfono de un objetivo.

Con información de: ADSLZone.