- Apple eleva el tope del Apple Security Bounty a 2 millones por cadenas de exploits equiparables a spyware mercenario.
- Bonificaciones que pueden superar los 5 millones si se elude el Modo de Bloqueo (Lockdown Mode).
- Nuevas categorías, Target Flags y pagos acelerados; entrada en vigor prevista para noviembre.
- Escalas por vector: cero clic (2M), un clic y proximidad (hasta 1M), físico y sandbox (hasta 500k), Gatekeeper (100k), iCloud (1M), WebKit (200k).
Apple ha movido ficha en su estrategia de ciberseguridad y duplica su recompensa máxima hasta 2 millones de dólares para quienes documenten cadenas de exploits equiparables a los ataques de spyware mercenario. La compañía sostiene que se trata del pago más alto de la industria en un programa público de recompensas, con el objetivo de atraer investigación de primer nivel sobre todo su ecosistema.
Además, el esquema de incentivos contempla bonificaciones que pueden llevar el total por encima de los 5 millones cuando se demuestre la evasión del Modo de Bloqueo (Lockdown Mode), la capa estrenada en 2022 para proteger a perfiles de alto riesgo frente a amenazas como Pegasus. Según Ivan Krstić, responsable de Ingeniería y Arquitectura de Seguridad en Apple, estos ataques de spyware mercenario son muy raros y dirigidos a un grupo reducido, y hasta ahora no han visto una elusión efectiva de ese modo, sin descartar que pueda ocurrir en el futuro.
Qué cambia en el Apple Security Bounty
El programa Apple Security Bounty, activo desde 2016 y abierto públicamente en 2019, ha abonado ya más de 35 millones de dólares a más de 800 investigadores. Con la actualización recién anunciada, Apple amplía las categorías de investigación, introduce un sistema de Target Flags y acelera ciertos pagos cuando la explotabilidad quede objetivamente demostrada, incluso antes de que exista un parche disponible.
Las Target Flags sirven para que el informe evidencie, de forma estandarizada, la gravedad y la explotabilidad de vulnerabilidades en áreas clave como la ejecución remota de código o las omisiones de Transparencia, Consentimiento y Control (TCC). La compañía adelanta que el catálogo completo de nuevas categorías y recompensas ampliadas entrará en vigor en noviembre, cuando publicará la lista detallada.
Cuánto paga Apple según el tipo de ataque
Para ataques de cero clics —incursiones remotas que no requieren interacción del usuario— el tope asciende a 2 millones de dólares, al tratarse de vectores empleados por spyware mercenario y, por tanto, de máximo riesgo.
En los escenarios que exigen un único clic del usuario, la bolsa también crece y puede alcanzar hasta 1 millón de dólares según el impacto demostrado y la cadena de explotación implicada.
Apple eleva igualmente los premios para vectores de proximidad inalámbrica por cualquier radio (Bluetooth, Wi‑Fi, NFC, UWB, etc.), que pueden situarse hasta 1 millón de dólares cuando se logra ejecución de código o acceso de alto privilegio.
Si el atacante necesita acceso físico a un dispositivo bloqueado, la recompensa máxima se coloca en el entorno de medio millón de dólares, con ajustes en función de la profundidad del compromiso.
Para el malware capaz de evadir el sandbox de una app, Apple contempla pagos de hasta 500.000 dólares, dados los riesgos de escalada y persistencia que conlleva romper ese aislamiento.
Otra novedad es la subida del premio a quienes eludan por completo Gatekeeper en macOS, que puede conllevar 100.000 dólares si se demuestra una ruta fiable de ejecución no autorizada.
Por su parte, Apple fija hasta 1 millón de dólares para hallazgos que permitan un acceso amplio y no autorizado a iCloud, un ámbito especialmente sensible por el volumen de datos personales implicados.
El entorno sandbox de WebKit también entra en el foco: se prevén 200.000 dólares para escapes logrados con un solo clic, reflejando la criticidad del navegador como superficie de ataque.
Además de los importes base, Apple aplicará bonificaciones adicionales por logros como eludir el Modo de Bloqueo o encontrar fallos en software beta, y recuerda que la calidad del informe —pruebas de concepto, pasos de reproducción y documentación técnica— es determinante para la cuantía final.
Por qué Apple sube la apuesta
El motivo del incremento, detalla Ivan Krstić, es que cada capa de protección añade complejidad y eleva la barrera técnica para los investigadores. Apple quiere que ese mayor esfuerzo se vea compensado con pagos “muy justos” a quienes invierten tiempo y talento en su plataforma, porque su labor ayuda a proteger a los usuarios antes de que los fallos lleguen a producción.
Krstić subraya que la compañía cuenta, por ejemplo, con un equipo de hackers de talla mundial en París, pero que los investigadores externos aportan perspectivas distintas que pueden descubrir ángulos que internamente no se han visto. De ahí que Apple busque que “esas personas sigan con su trabajo”, pese a que cada vez resulte más difícil y costoso encontrar vulnerabilidades relevantes.
Otras medidas recientes de seguridad
En paralelo al programa de recompensas, Apple ha incorporado a sus sistemas la protección de la integridad de la memoria (MIE), un avance que combina hardware y software para dificultar de manera significativa la instalación de malware. La compañía lo describe como la mayor mejora en seguridad de memoria en sistemas operativos de consumo de su historia.
Cómo participar y plazos
Quienes quieran optar a estos pagos deben remitir sus reportes a través de security.apple.com/bounty, adjuntando PoC funcionales, detalles técnicos y pasos reproducibles. Apple indica que las nuevas cuantías y categorías comenzarán a aplicarse en noviembre, momento en el que se publicará la lista completa con las condiciones específicas.
Con este movimiento, Apple refuerza su colaboración con la comunidad de seguridad: 2 millones de tope para cadenas de exploits de máximo riesgo, bonos que pueden superar los 5 millones si se derrota el Modo de Bloqueo y un marco más claro para valorar la explotabilidad. El mensaje es nítido: incentivar la investigación responsable para cerrar brechas antes de que las exploten actores hostiles.
