• Apple ha duplicado la recompensa máxima por la cadena de 'exploits' de software más peligrosa hasta los 2 millones de dólares.
  • La bonificación total, incluyendo extras por eludir el Modo de Bloqueo y por hallazgos en fase beta, puede ascender hasta los 5 millones de dólares.
  • La empresa ha destinado más de 35 millones de dólares a su programa de recompensas desde su apertura pública en 2020.

Apple ha anunciado una significativa mejora en su programa de recompensas por errores, elevando la bonificación máxima para la cadena de 'exploits' de software más peligrosa a 2 millones de dólares. Esta decisión, comunicada por Ivan Krstić, vicepresidente de ingeniería y arquitectura de seguridad de Apple, durante la conferencia Hexacon en París, subraya el valor de las vulnerabilidades críticas dentro del ecosistema de Apple y el compromiso de la compañía por mantenerlas fuera de manos equivocadas. La iniciativa busca especialmente disuadir el uso de estas vulnerabilidades por parte de la creciente industria del espionaje mercenario.

Además de la recompensa individual, el programa de Apple incluye una estructura de bonificaciones que premia los 'exploits' capaces de eludir su Modo de Bloqueo (Lockdown Mode) y aquellos descubiertos durante las fases de prueba beta del software. Considerando estas bonificaciones adicionales, el pago máximo por una cadena de vulnerabilidades potencialmente catastrófica podría alcanzar los 5 millones de dólares. Krstić enfatizó que la compañía está dispuesta a pagar "muchos millones de dólares" para asegurar que los investigadores con las habilidades necesarias para encontrar y reportar estos problemas complejos reciban una recompensa "tremenda", especialmente aquellos que replican ataques de espionaje mercenario.

Desde su lanzamiento hace casi una década, el programa de recompensas de Apple ha evolucionado considerablemente. Inicialmente un programa solo por invitación, se abrió al público en 2020 y, desde entonces, ha recompensado a más de 800 investigadores de seguridad con más de 35 millones de dólares. Apple también está ampliando las categorías de recompensas para incluir ciertos tipos de 'exploits' de navegador WebKit y vulnerabilidades de proximidad inalámbrica. Recientemente, la compañía anunció una nueva función llamada "Memory Integrity Enforcement" en la línea del iPhone 17, diseñada para neutralizar las clases de errores de iOS más explotadas, beneficiando especialmente a activistas, periodistas y políticos en riesgo de ataques digitales dirigidos. Como parte de este esfuerzo, Apple donará mil iPhones 17 a grupos de derechos humanos que trabajan con personas en riesgo.