El gigante tecnológico Apple ha decidido dar un giro radical a su programa de recompensas por errores, y lo hace a lo grande. Ahora, la compañía ofrece hasta 2 millones de dólares para aquellos que puedan descubrir cadenas de exploits que se asemejen a los sofisticados ataques de spyware. Y no solo eso; con incentivos adicionales por vulnerabilidades encontradas en el modo Lockdown y en software beta, Apple asegura que sus pagos totales podrían superar los 5 millones de dólares. ¡Eso sí que es una jugosa recompensa!
Cambio en la estrategia
Lo más llamativo es el nuevo enfoque del programa, que ahora prioriza las cadenas completas de exploits sobre las vulnerabilidades individuales. Esto responde a la realidad del mundo actual, donde los ataques suelen encadenar varios fallos para llevarse a cabo. Además, las recompensas por vectores de entrada remota han aumentado significativamente, aunque aquellos errores menos comunes tendrán compensaciones más bajas.
Nuevas reglas del juego
Entre las novedades también están los “Target Flags”, inspirados en esos juegos divertidos de captura la bandera. Cuando un investigador logra explotar una vulnerabilidad, puede capturar una bandera específica que demuestra el nivel de acceso alcanzado. Estas banderas serán verificadas por Apple, permitiendo que quienes presenten informes con ellas reciban notificación inmediata tras validar su captura. Adiós a esas largas esperas hasta que Apple publique un parche.
A partir de noviembre de 2025, el programa renovado entra en vigor y también ampliará sus categorías: escapes del sandbox WebKit valorados hasta 300,000 dólares, y exploits inalámbricos cercanos capaces de alcanzar hasta 1 millón de dólares. Por si fuera poco, una completa bypass del Gatekeeper en macOS ahora ganará 100,000 dólares. La cifra total no deja indiferente: desde 2020, Apple ha pagado más de 35 millones a más de 800 investigadores.
