Apple ha anunciado el inicio de un programa de recompensas para los hackers que descubran vulnerabilidades en sus productos. Este es un método de detección y contención de vulnerabilidades que muchas compañías, incluyendo Google, Yahoo y Facebook, llevan implementando hace años para involucrar a la comunidad en la protección de sus productos.
Durante muchos años, los usuarios se han aferrado al mito de que Apple era inmune a infecciones y amenazas. Pero con el aumento de la participación de la compañía en el mercado también se extendieron los ataques que la afectan, poniéndola en el ojo del huracán en intrusiones de seguridad como las que a finales de 2014 expusieron la información y fotografías privadas almacenadas en iCloud de artistas y mujeres famosas.
Es por eso que, aunque con años de retraso, Apple se ha unido al movimiento de las grandes compañías de seguridad para recompensar a los internautas que le ayuden a detectar vulnerabilidades para adoptar nuevas medidas de protección y defensa.
El programa de recompensas se inaugurará el próximo mes. Al principio se invitará sólo a un equipo selecto de expertos en seguridad para que pongan a prueba sus productos en busca de vulnerabilidades, pero también se considerarán las intervenciones de otros hackers y expertos en seguridad que expongan vulnerabilidades críticas.
Las recompensas que ofrece son mayores en comparación a las de otras compañías: oscilan entre los 25.000 y 200.000 dólares para quienes encuentren vulnerabilidades en su firmware, 50.000 US$ por las vulnerabilidades que causen la ejecución remota de códigos con privilegios de kernel, hasta 50.000 US$ para quienes descubran formas de irrumpir en los datos de su iCloud y 25.000 US$ por vulnerabilidades que permitan que los usuarios que están dentro de un proceso en una caja de arena tengan acceso a datos de usuarios que se encuentran fuera de este entorno.
Los altos precios de las recompensas podrían dar a la compañía ventaja sobre cibercriminales que también pagan por conocer vulnerabilidades en sistemas vulnerables, pero para explotarlas en ciberataques, con lo que la recompensa no solo sirve de incentivo para descubrir vulnerabilidades, sino también para entregar esta información a las manos correctas.
El Jefe de Ingeniería de seguridad de Apple, Ivan Krstic, hizo el anuncio en la conferencia de ciberseguridad Black Hat que se llevó a cabo la semana pasada en Las Vegas. También presentó tres nuevos mecanismos de seguridad para iOS: HomeKit, Auto Unlock e iCloud Keychain, diseñados para aumentar la seguridad de los datos privados de sus usuarios.
Fuentes
http://www.scmagazineuk.com/black-hat-las-vegas-apple-offers-bug-bounty-programme/article/514568/ — SC Magazine UK
Apple presenta su nuevo programa de recompensas de hasta 200.000 US$