Lo veo y subo la apuesta: 500.000 $ por encontrar vulnerabilidades en iOS

0

La semana pasada, Apple anunció el lanzamiento de su programa bug bounty (programas de recompensas), con el que pagaría hasta 200.000 dólares a quien encontrara y reportara vulnerabilidades graves en sus productos. Una auténtica sorpresa, ya que los de la manzana nunca se habían subido al carro de este tipo de programas.

Lo curioso llega ahora. Y es que una empresa dedicada a encontrar este tipo de fallos, Exodus Intelligence, ha lanzado su propio programa para descubrir exploits y vulnerabilidades, denominado Research Sponsorship Program. Y si se trata de errores relacionados con iOS, la compañía está dispuesta a subirle la oferta a Apple, ofreciendo un máximo de 500.000 dólares por vulnerabilidades que afecten a iOS 9.3 o versiones posteriores.

En esta tabla que recogen en The Verge se pueden ver los precios que están dispuestos a pagar por zero-days en diferentes sistemas.

lista bug bounty apple exodus

Y, ¿qué tipo de vulnerabilidad podría valer el medio millón de dólares? Según la compañía, una cadena de vulnerabilidades que puedan ejecutar código de forma remota y tengan la habilidad de resistir en el dispositivo. Casi nada. Según explica su presidente a Motherboard, su programa se diferencia del de Apple en que ellos están interesados en vulnerabilidades de su arquitectura de seguridad, y no requieren el exploit. El año pasado, otra compañía, Zerodium, pagó un millón de dólares a un grupo de hackers que comprometieron un dispositivo aprovechándose de fallos de seguridad en Chrome y iOS.

Con este tipo de iniciativas, las empresas premian a los hackers para que encuentren para ellos zero-days y problemas de seguridad. Google, Microsoft, Facebook… Las principales compañías tecnológicas cuentan con este tipo de iniciativas, que abren un interesante método de ingresos para los investigadores de seguridad, y además les ayuda a solucionar posibles problemas con mucha más rapidez. Porque cuantos más ojos rebusquen en el código para encontrar problemas, mejor. Y si esos ojos son del lado de “los buenos”, mejor que mejor.

exodus bug bounty program

El lanzamiento oficial del programa de Apple tendrá lugar en otoño, y abre la posibilidad a investigadores externos a la compañía, que serán premiados con recompensas de hasta 200.000 euros.

Puede parecer bastante dinero, sí. El problema es que se pueden conseguir recompensas mayores en los mercados negros de Internet. Es decir, que si en lugar de vendérselos a Apple se los ofrecen a un grupo cibercriminal, podrían amortizar bastante más su trabajo.

En cualquier caso, este tipo de programas son un gran avance en el terreno de la seguridad informática, premiando a los hackers y los investigadores, que dedican muchas horas a encontrar vulnerabilidades con los que hacer los programas y dispositivos más seguros.

ios bug bounty

About Author

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Leave A Reply