En 2016, en la popular conferencia Black Hat, donde los piratas informáticos de todo el mundo se reúnen para debatir, competir y establecer contactos, el jefe de seguridad de Apple, Ivan Krstic, anunció un programa de recompensas para iOS. El programa significaba que los piratas informáticos podían peinar iOS en busca de vulnerabilidades de seguridad e informarlas a Apple a cambio de una recompensa.
Algunos criticaron a Apple por llegar tarde al juego, ya que Microsoft y Google tuvieron programas de recompensas por errores durante años. Ahora Apple está siendo criticada porque iOS y la estructura de su programa de recompensas están desincentivando a los piratas informáticos para que no informen errores.
Programa de recompensas de iOS
Algunos investigadores de seguridad con los que habló Motherboard dijeron que las recompensas de Apple no son lo suficientemente altas. Apple tiene diferentes categorías de errores, y la cantidad más alta que ofrece Apple es de 200.000 dólares. Eso es una gota en el océano en comparación con otras compañías como Zerodium y Exodus Intelligence. En el pasado, estas empresas han ofrecido recompensas de hasta US$1,5 millones y US$500.000, respectivamente.
Otros factores
Pero es posible que Apple no haya considerado que los investigadores de seguridad necesitan errores para encontrarlos. iOS es un sistema operativo altamente seguro y bloqueado y es difícil de inspeccionar para los piratas informáticos, y mucho menos entrar. Un investigador de seguridad anónimo que fue invitado al programa de recompensas de iOS le dijo a Motherboard:
O informas y eliminas tus propios errores, o decides no informar los errores para no complicarte la vida y seguir investigando. O acude a una compañía independiente que paga por los errores para que no desperdicies dos o tres errores por una recompensa de solo $ 50,000.
Eso nos lleva a otro problema: el programa de recompensas de iOS es solo por invitación. Eso significa que solo un par de ojos limitados están buscando vulnerabilidades en el código iOS. Si algunos piratas informáticos mantienen los errores que encuentran, Apple podría estar dándose un tiro en el pie con su propio programa.
Apple podría considerar necesario abrirse a más personas o pagar recompensas más altas para mantener la atención de los investigadores de seguridad.
