Underc0de - La Casa de los Informáticos

Apple ha anunciado una importante expansión y rediseño de su programa de recompensas por errores (Bug Bounty Program), con el objetivo de reforzar la seguridad de su ecosistema y aumentar la colaboración con investigadores de ciberseguridad de todo el mundo.
La compañía ha duplicado las recompensas máximas, ha introducido nuevas categorías de investigación y ha implementado una estructura de pagos más transparente, que marca un nuevo estándar en la industria tecnológica.

Desde su lanzamiento en 2020, el Apple Security Bounty ha entregado más de 35 millones de dólares en recompensas a más de 800 investigadores de seguridad. Algunos reportes individuales han recibido pagos de hasta 500,000 dólares, reflejando la seriedad con la que Apple aborda la detección temprana de vulnerabilidades críticas.

Un salto histórico: hasta $5 millones por vulnerabilidades de clic cero

El cambio más destacado del nuevo programa es el aumento de la recompensa máxima a $2 millones para los investigadores que identifiquen vulnerabilidades de compromiso remoto sin interacción del usuario (clic cero), un tipo de ataque que suele ser explotado por desarrolladores de spyware mercenario como Pegasus o Predator.

Sin embargo, el nuevo sistema de bonificación puede elevar las recompensas hasta los $5 millones, dependiendo de la gravedad y el contexto de la vulnerabilidad descubierta.
Apple afirma que este es "el pago más alto ofrecido por cualquier programa de recompensas existente", y que busca compensar el esfuerzo técnico que implica descubrir fallos de seguridad avanzados en entornos con múltiples capas de protección.

Citar"Nuestro sistema de bonificaciones puede duplicar con creces las recompensas base, con un pago máximo de más de $5 millones. Esto representa una inversión sin precedentes en la seguridad del ecosistema Apple", señaló la compañía.

Nuevas categorías y pagos aumentados en el programa de seguridad

Apple ha actualizado su esquema de recompensas para abarcar una gama más amplia de ataques, desde exploits remotos hasta bypasses de seguridad física y sandbox escapes.
A continuación, algunos de los pagos más relevantes del nuevo sistema:

• Compromiso remoto de clic cero: $2,000,000 (hasta $5M con bonificación)
• Ataque remoto con un solo clic: $1,000,000
• Ataque de proximidad inalámbrico: $1,000,000
• Acceso no autorizado a iCloud: $1,000,000
• Cadena de exploits WebKit con ejecución de código arbitrario: $1,000,000
• Ataque a dispositivo bloqueado con acceso físico: $500,000
• Escape de sandbox de aplicaciones: $500,000
• Escape de sandbox WebKit con un clic: $300,000
• Bypass de macOS Gatekeeper sin interacción del usuario: $100,000
• Premio de estímulo para informes menores pero válidos: $1,000

Apple ha destacado que nunca ha recibido informes que logren una omisión completa de Gatekeeper o un acceso amplio a iCloud sin autenticación, dos de los desafíos más difíciles en su plataforma.
Además, el premio por "proximidad inalámbrica", que antes era de $250,000, ahora alcanza el millón de dólares, e incluye vulnerabilidades relacionadas con chips desarrollados por Apple, como los módems C1 y C1X y el chip inalámbrico N1.

Apple refuerza su estrategia contra el spyware mercenario

La expansión del programa de recompensas no solo busca incentivar la investigación independiente, sino también debilitar la economía del software espía que depende de la compra y venta de exploits de día cero.
Apple reconoce que las cadenas de ataque sofisticadas utilizadas por grupos patrocinados o mercenarios han aumentado en los últimos años, y que incentivar a los investigadores legítimos puede reducir el riesgo global para los usuarios.

La compañía también planea distribuir mil iPhone 17 especialmente diseñados para investigación de seguridad durante 2026, como parte del Security Research Device Program (SRDP).
Estos dispositivos estarán dirigidos a miembros de organizaciones de la sociedad civil que enfrentan mayor riesgo de ser atacados por spyware, y permitirán acceder a configuraciones internas del sistema para pruebas de seguridad avanzadas.

Los investigadores interesados podrán solicitar acceso al programa antes del 31 de octubre de 2025, según informó Apple.

Un enfoque integral de ciberseguridad

Además del aumento en los premios, Apple ha reforzado las medidas de seguridad en iOS, macOS y watchOS, introduciendo protecciones como el Modo de Bloqueo (Lockdown Mode), la integridad reforzada de la memoria y nuevas defensas contra la inyección de código malicioso.

Estas medidas buscan encarecer el desarrollo de spyware sofisticado, reduciendo las oportunidades para los atacantes de aprovechar vulnerabilidades no reportadas.
La empresa asegura que el nuevo esquema de recompensas complementará estas defensas, al canalizar el talento global de los investigadores hacia la detección responsable de vulnerabilidades críticas.

En fin...

El rediseño del programa de recompensas por errores de Apple marca un paso decisivo en la evolución de la ciberseguridad corporativa. Con pagos récord de hasta $5 millones, nuevas categorías de investigación y una estructura transparente, Apple refuerza su compromiso con la seguridad proactiva, invitando a la comunidad global de investigadores a formar parte activa en la protección del ecosistema más seguro del mercado.

Fuente: https://www.bleepingcomputer.com/