Apple ha redoblado su apuesta por la ciberseguridad con un aumento histórico de su programa de recompensas: a partir de ahora, pagará hasta 2 millones de dólares por cadenas de vulnerabilidades que consigan objetivos comparables a los de los ataques de spyware mercenario. El anuncio, realizado por Ivan Krstić durante la conferencia Hexacon en ParÃs, sitúa este bug bounty entre los más ambiciosos del sector.
Además del nuevo máximo, la compañÃa introduce bonificaciones que, en determinados supuestos, pueden superar los 5 millones de dólares. El enfoque se centra en ataques de cero clics y vectores de alto impacto, en lÃnea con herramientas como Pegasus, y se apoya en medidas defensivas recientes como el modo de bloqueo y la protección Memory Integrity Enforcement, todo ello en un ecosistema con más de 2.300 millones de dispositivos activos.
Qué cambia en el Apple Security Bounty
El nuevo tope se reserva para cadenas de exploits remotos sin interacción del usuario, es decir, los célebres ataques de cero clics. En estos casos, la recompensa puede llegar a 2 millones si se demuestra un impacto equiparable al de campañas de spyware mercenario altamente sofisticadas.
Apple también actualiza otras categorÃas: los ataques de red que requieren un solo clic pueden llegar hasta 1 millón; los de proximidad inalámbrica, ejecutados con cualquier radio, alcanzan igualmente hasta 1 millón; el acceso fÃsico a un dispositivo bloqueado se recompensa hasta con 500.000 dólares; y los casos de malware que evitan el sandbox de una app contemplan pagos de hasta 500.000 dólares. En la práctica, el baremo prioriza exploits de uno o cero clics y el impacto real frente a vulnerabilidades teóricas.
Hay ampliaciones especÃficas: se añaden objetivos en el entorno de WebKit con escape de un solo clic (200.000 dólares), un incremento notable para eludir completamente el Gatekeeper (100.000 dólares) y una nueva cuantÃa que reconoce el acceso amplio y no autorizado a iCloud con pagos de hasta 1 millón. El programa cubre iOS, iPadOS, macOS, watchOS, tvOS y visionOS, tanto en software como en componentes de infraestructura.
Las bonificaciones también se refuerzan. Eludir el modo de bloqueo con una cadena válida o encontrar fallos exclusivos en software beta puede activar multiplicadores y primas que sumen por encima de los 5 millones de dólares en escenarios extremos. Además, Apple introduce «Target Flags», un mecanismo para demostrar de forma rápida y objetiva la explotabilidad en categorÃas clave y acelerar pagos y validaciones cuando se cumplan los criterios.
Motivos, calendario y antecedentes
Según Ivan Krstić, incrementar las cuantÃas es una forma de reconocer que encontrar fallos en la plataforma es cada vez más difÃcil y exige más tiempo y habilidades. La meta es que quienes se topan con los escenarios más complejos prefieran reportarlos responsablemente a Apple antes de que lleguen a los mercados grises.
El bug bounty de Apple nació en 2016 como un programa por invitación con pagos máximos de 200.000 dólares; en 2019 subió el listón a 1 millón y, desde su apertura pública en 2020, la empresa afirma haber distribuido más de 35 millones de dólares entre más de 800 investigadores, con varios pagos individuales de 500.000 dólares.
El refuerzo de recompensas se alinea con un marco defensivo más amplio: el modo de bloqueo (presentado en 2022) y la nueva protección de integridad de la memoria elevan la barrera técnica; de hecho, Apple asegura que no ha observado bypasses del modo de bloqueo desde su lanzamiento, aunque reconoce que no existe seguridad absoluta. En paralelo, casos como el de Pegasus y la denuncia contra NSO Group ilustran por qué se priorizan los ataques remotos de cero clics.
Los cambios anunciados empezarán a aplicarse a partir de noviembre, cuando Apple publique la lista completa de nuevas categorÃas y cuantÃas revisadas. Para participar, los investigadores deben remitir informes técnicamente detallados a través de security.apple.com/bounty/. La compañÃa recalca que los pagos se determinan a su discreción según el tipo de problema, el nivel de acceso alcanzado y la calidad del informe.
El portal permite consultar y seguir cada caso, incluido el reconocimiento en notas de versión si una corrección deriva del reporte. Cuando corresponda, el sistema notificará automáticamente la concesión de la recompensa, lo que mejora la transparencia y la trazabilidad de todo el proceso de divulgación responsable.
Con esta actualización, Apple apuesta por incentivar hallazgos de alto impacto, ampliar el alcance a más superficies de ataque y mantener a la comunidad investigadora colaborando con la empresa. El mensaje es claro: priorizar las cadenas completas, remunerar la dificultad real y elevar la protección tanto de los colectivos más expuestos como del conjunto de usuarios con las recompensas más altas del sector.
