Apple abre su programa de recompensas por vulnerabilidades a todos los investigadores
Como se anunció en agosto pasado, el programa de recompensas por errores de Apple ya está disponible para todo el público. Esta iniciativa, que antes funcionaba solo bajo invitación, busca premiar a quienes detecten fallas de seguridad en los sistemas operativos de la compañía.
Hasta ahora, el programa exclusivo había generado críticas por incentivar a quienes no recibían invitación a vender vulnerabilidades a empresas o gobiernos, que podrían usarlas para obtener acceso no autorizado a dispositivos Apple.
Incremento en las recompensas para incentivar la participación
Recientemente, Apple aumentó los pagos máximos tras las quejas por las bajas recompensas. Este cambio busca desalentar la venta ilegal de vulnerabilidades en el mercado negro, ya que ahora las sumas ofrecidas resultan más atractivas incluso para los investigadores invitados.
Para conocer todos los detalles y requisitos, Apple habilitó un micrositio oficial de Apple Security Bounty, donde se especifica la elegibilidad y el proceso para participar.
Requisitos para ser elegible en el programa de recompensas de Apple
Para optar a un Apple Security Bounty, la vulnerabilidad debe presentarse en las últimas versiones oficiales de iOS, iPadOS, macOS, tvOS o watchOS, con configuración estándar. Además, cuando aplique, debe ocurrir en el hardware más reciente disponible públicamente.
Proceso de selección y normas de participación
Estas reglas garantizan la protección de los usuarios hasta que se lance una actualización, permiten a Apple verificar rápidamente los informes y recompensan adecuadamente a quienes realizan investigaciones originales.
Los investigadores interesados deben cumplir con los siguientes requisitos:
- Ser los primeros en reportar la vulnerabilidad a Apple Product Security.
- Presentar un informe claro y detallado, que incluya un exploit funcional.
- No divulgar públicamente la falla antes de que Apple emita el aviso de seguridad correspondiente.
Cuánto paga Apple por detectar vulnerabilidades críticas
Apple ofrece bonificaciones adicionales del 50% para problemas que afecten exclusivamente a versiones beta públicas o beta para desarrolladores, incluyendo regresiones. Esto significa que los pagos máximos pueden alcanzar hasta 1,5 millones de dólares.
La tabla oficial de recompensas indica que las sumas oscilan entre 100.000 y 1 millón de dólares, dependiendo de la gravedad y exclusividad de la vulnerabilidad. Además, Apple dona una cantidad igual a una organización benéfica, reforzando su compromiso social.
Objetivo principal: proteger a los usuarios y fortalecer la seguridad
El propósito del Apple Security Bounty es mejorar la protección de los clientes mediante el análisis profundo de vulnerabilidades y las técnicas utilizadas para explotarlas. Así, la empresa busca mantener la confianza en sus productos y sistemas operativos.
Apple reafirma con esta iniciativa su compromiso con la seguridad y la transparencia frente a investigadores y usuarios.
Créditos: fayerwayer