A hackear iPhones: Apple anuncia pagos récord a investigadores de seguridad en iOS
La empresa apuesta por derrotar al mercado negro de exploits con su misma moneda: grandes sumas de dinero.
Apple amplió significativamente el programa de recompensas por vulnerabilidades relacionado con la protección del ecosistema iOS. En la conferencia Hexacon sobre seguridad ofensiva en París, el vicepresidente de la compañía para arquitectura e ingeniería de seguridad, Ivan Krstic, anunció una recompensa máxima de 2 millones de dólares por una cadena de vulnerabilidades que pueda ser utilizada con fines de espionaje.
Y si dicha cadena permite eludir el modo de protección adicional Lockdown Mode o se detecta en la versión beta del sistema, la suma total de la prima puede alcanzar los 5 millones de dólares. Las nuevas normas entrarán en vigor el próximo mes.
La decisión refleja la preocupación de la compañía por el crecimiento del mercado de programas espía comerciales y el deseo de bloquear su explotación ya en la fase de detección de fallos críticos. Apple destaca que valora especialmente los hallazgos que replican la lógica de ataques reales —y es precisamente por ese tipo de inversión de tiempo y esfuerzo que está dispuesta a pagar sumas importantes.
Según Krstic, la compañía ya ha pagado medio millón de dólares por hallazgos individuales, y en total, desde 2020, cuando el programa se abrió a todo el público, se han entregado más de 35 millones de dólares a más de 800 investigadores.
Además de aumentar las recompensas, la compañía amplió la lista de tipos de vulnerabilidades incluidas en el programa. Ahora incluye ataques a través de la infraestructura del navegador WebKit con un solo clic y métodos basados en el uso de canales de radio cerca del dispositivo.
También se añadió una nueva categoría Target Flags —en esencia, la integración de elementos de competiciones CTF en las pruebas reales de productos de Apple. Esto permite demostrar la eficacia de los exploits de forma rápida y visual, aumentando la transparencia del proceso.
Además de crear incentivos para los cazadores de vulnerabilidades, Apple invierte en la protección a largo plazo de sus productos a nivel arquitectónico. En septiembre la compañía presentó el mecanismo Memory Integrity Enforcement, integrado en los dispositivos de la línea iPhone 17. Está diseñado para bloquear la clase de errores más utilizada en iOS y está pensado principalmente para proteger a grupos vulnerables, incluidos activistas políticos, periodistas y defensores de los derechos humanos.
Apple subraya que, incluso si la mayoría de los usuarios nunca se enfrenta a las amenazas de programas espía, el trabajo para proteger a los grupos más vulnerables refuerza la seguridad de todo el ecosistema. La compañía explica que esto responde a una responsabilidad moral necesaria —especialmente en un contexto de abusos constantes de estas tecnologías, sobre los que informan de forma regular tanto empresas de TI como organizaciones de derechos humanos.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla