Apple duplica su programa de recompensas por fallos: pagos de hasta 5 millones y nuevos incentivos para exploits de iOS y Safari

Apple anunció una actualización de su programa de recompensas por fallos, que arrancará en noviembre y pondrá sobre la mesa algunas de las cifras más altas de la industria. La compañía ha duplicado el pago máximo para cadenas de exploits comparables en complejidad a ataques de spyware: pasa de 1 millón a 2 millones de dólares. Para vulnerabilidades especialmente críticas —incluidos fallos en software beta o la evasión de Lockdown Mode en Safari— los investigadores podrán recibir hasta 5 millones de dólares.

El resto del baremo también sube con fuerza. Los exploits de un clic ahora optan a hasta 1 millón de dólares, frente a los 250.000 anteriores. La recompensa tope para vulnerabilidades que requieren proximidad física a un dispositivo se eleva a 1 millón, mientras que lograr acceso a equipos bloqueados puede aportar hasta 500.000. Además, Apple pagará hasta 300.000 por una cadena de ataque que combine ejecución de código en WebContent con un escape del sandbox.

De acuerdo con el vicepresidente de seguridad de Apple, Ivan Krstić, en los últimos años la empresa ha abonado más de 35 millones de dólares a más de 800 investigadores. Señaló que los pagos más cuantiosos no son habituales, si bien en más de una ocasión Apple ha llegado a conceder 500.000 dólares por fallos críticos.

La compañía remarcó que todos los ataques a nivel de sistema documentados en iOS han estado, en la práctica, vinculados al llamado spyware mercenario, empleado con mayor frecuencia por entidades gubernamentales para vigilancia dirigida. Nuevas defensas —como Lockdown Mode y Memory Integrity Enforcement— complican este tipo de intrusiones, incluso mientras los adversarios siguen evolucionando. Al elevar las recompensas, Apple deja claro hacia dónde quiere orientar la atención de los investigadores: las debilidades más determinantes, las que pueden inclinar la balanza de la seguridad en el mundo real.