Desde que lanzó su programa de recompensas por errores hace casi una década, Manzana siempre ha promocionado pagos máximos notables—$200,000 en 2016 y $1 millón en 2019. Ahora la empresa vuelve a subir las apuestas. En la conferencia de seguridad ofensiva Hexacon celebrada en París el viernes, el vicepresidente de ingeniería y arquitectura de seguridad de Apple, Ivan Krstić, anunció un nuevo pago máximo de 2 millones de dólares por una cadena de exploits de software de los que se podría abusar para software espía.
La medida refleja cuán valiosas pueden ser las vulnerabilidades explotables dentro del entorno móvil altamente protegido de Apple y hasta dónde llegará la compañía para evitar que tales descubrimientos caigan en las manos equivocadas. Además de los pagos individuales, la recompensa por errores de la compañía también incluye una estructura de bonificación, que agrega premios adicionales por exploits que puedan eludir sus Modo de bloqueo extra seguro así como los descubiertos mientras el software de Apple aún se encuentra en su fase de prueba beta. En conjunto, la indemnización máxima por lo que de otro modo sería una cadena de exploits potencialmente catastrófica será ahora de 5 millones de dólares. Los cambios entrarán en vigor el próximo mes.
«Estamos haciendo cola para pagar muchos millones de dólares aquí, y hay una razón», le dice Krstić a WIRED. «Queremos asegurarnos de que, para las categorías más difíciles, los problemas más difíciles, las cosas que reflejan más fielmente los tipos de ataques que vemos con el software espía mercenario, los investigadores que tienen esas habilidades y ponen ese esfuerzo y tiempo puedan obtener una recompensa tremenda».
Apple dice que hay más de 2.350 millones de sus dispositivos activos en todo el mundo. La recompensa por errores de la empresa fue originalmente es un programa solo por invitación para investigadores destacados, pero desde que se abrió al público en 2020, Apple dice que ha otorgado más de 35 millones de dólares a más de 800 investigadores de seguridad. Los pagos de grandes cantidades de dinero son muy raros, pero Krstić dice que la empresa ha realizado múltiples pagos de 500.000 dólares en los últimos años.
