La primera recompensa por errores de Apple pagará a los piratas informáticos para encontrar fallas en iOS

Justin Sullivan / Getty Images

A partir de septiembre, Apple lanzará un programa de recompensas por errores que paga a investigadores de seguridad externos para encontrar vulnerabilidades en iOS e iCloud, anunció la compañía hoy.



En una presentación en la conferencia de ciberseguridad BlackHat en Las Vegas, el Jefe de Ingeniería y Arquitectura de Seguridad de Apple, Ivan Krstić, anunció el programa, que es el primero de este tipo para la compañía.

El programa de recompensas comprenderá un grupo inicial preseleccionado de varias docenas de investigadores y paga entre $ 25,000, por vulnerabilidades que permiten el acceso a los datos del usuario desde una partición especial llamada 'sandbox', hasta $ 200,000, por vulnerabilidades en el código más fundamental de los dispositivos iOS. Este último premio, entre los más grandes de la industria, indica la seriedad de un exploit que podría permitir a un hacker el acceso total a un iPhone bloqueado.



'Si se los vende a un gobierno, son errores de un millón de dólares', dijo Rich Mogull, analista de Securosis.



Ya existe un mercado entre las empresas de seguridad privada (y probablemente las agencias gubernamentales) para las vulnerabilidades del software de Apple durante algún tiempo. En 2015, la empresa de seguridad Zerodium acordó pagar una suma de siete cifras a los piratas informáticos por un exploit de iOS . Y el fbi implícito a principios de este año pagó $ 1 millón a una empresa externa para obtener acceso al teléfono del tirador de San Bernardino Syed Farook.

Ahora Apple quiere que los piratas informáticos trabajen en su nombre. Los programas de recompensas por errores, que incentivan a los piratas informáticos a mejorar la seguridad del software en lugar de arruinarlo, se remontan al menos a dos décadas en Netscape, aunque los programas se han vuelto mucho más populares en los últimos años. Algunas de las empresas más grandes de tecnología, incluidas Facebook, Google y Microsoft, tienen sus propias recompensas. Y ahora existe una variedad de startups para configurar recompensas de errores , de los cuales hay ahora cientos . Apple, que es conocida por controlar estrictamente su software, había sido una notable resistencia a la recompensa por errores hasta ahora.

Aunque muchos programas de recompensas de errores están abiertos al público, lo que significa que cualquiera puede buscar y enviar fallas de seguridad, según el informe 'The State of Bug Bounty' de Bugcrowd de 2016, los programas solo por invitación, como el de Apple, han crecido en los últimos años. (Google, Facebook y Microsoft ejecutan programas públicos). Apple no reveló qué investigadores de seguridad eligió para participar en su programa de recompensas.



Según Ben Bajarin, analista principal de la firma de investigación de mercado Creative Strategies, Apple ha trabajado con firmas de seguridad externas en el pasado. Hacerlo público, dijo Bajarin, es una forma de formalizar esas relaciones y expandir el programa, quizás eventualmente más allá del grupo de investigadores preseleccionados con los que Apple está comenzando.

'El objetivo aquí es ampliar esto y dejar entrar a más personas', dijo Bajarin. 'Creo que, para empezar, solo lo están controlando un poco'.

De hecho, las recompensas por errores pueden ser una forma inteligente para que las empresas mejoren las relaciones con los piratas informáticos y la comunidad de investigación de seguridad en general. Buenos programas de recompensas por errores Pague de manera justa y tenga en cuenta la dificultad de los trucos. Las empresas detrás de ellos corrigen rápidamente los defectos descubiertos y también generan buena voluntad a través de características como tablas de clasificación y salones de la fama para los mejores piratas informáticos. Los malos programas pagan mal y los parches no aparecen durante meses .



Apple, que a principios de este año libró una batalla muy publicitada con el FBI por el acceso al iPhone del tirador de San Bernardino, es según se informa trabajando para hacer que los dispositivos iOS sean tan seguros que incluso la empresa no puede descifrarlos. En este contexto, la introducción de un programa de recompensas por errores puede verse como una indicación de que los equipos de seguridad interna de Apple encuentran cada vez más difícil producir vulnerabilidades.

Según Mogull, la recompensa de errores de Apple requiere las llamadas 'pruebas de conceptos explotables', no solo errores molestos, sino vulnerabilidades reales que podrían usarse en el mundo real.

'Apple produce los dispositivos de consumo más seguros del mercado', dijo. 'Los errores específicos que están buscando no son fáciles de encontrar'.