Detalles del programa de recompensas de apple
El nuevo techo de recompensas se reserva para cadenas de exploits remotos que no requieren interacción del usuario, conocidos como ataques de cero clics. En estos casos, la recompensa puede alcanzar los 2 millones de dólares si el impacto de la vulnerabilidad es comparable a las campañas de spyware mercenario altamente sofisticadas.
Además de este nuevo máximo, Apple ha actualizado otras categorías de fallos:
- Para ataques de red que requieren un solo clic, la recompensa puede llegar hasta 1 millón de dólares.
- Los ataques de proximidad inalámbrica, ejecutados con cualquier radio, también alcanzan hasta 1 millón de dólares.
- El acceso físico a un dispositivo bloqueado se recompensa con hasta 500.000 dólares.
- Para el malware que evade el sandbox de una app, se contemplan pagos de hasta 500.000 dólares.
El enfoque del programa prioriza los exploits de uno o cero clics y el impacto real frente a vulnerabilidades teóricas. Se han añadido ampliaciones específicas, como:
- Escape de un solo clic en el entorno de WebKit (200.000 dólares).
- Un incremento notable para eludir completamente el Gatekeeper (100.000 dólares).
- Acceso amplio y no autorizado a iCloud, con pagos de hasta 1 millón de dólares.
Este programa abarca iOS, iPadOS, macOS, watchOS, tvOS y visionOS, tanto en software como en componentes de infraestructura.
Bonificaciones y nuevas herramientas
Las bonificaciones dentro del programa de recompensas también han sido reforzadas. Eludir el modo de bloqueo con una cadena válida o encontrar fallos exclusivos en software beta puede activar multiplicadores y primas que sumen por encima de los 5 millones de dólares en escenarios extremos. Apple ha introducido «Target Flags», un mecanismo diseñado para demostrar de forma rápida y objetiva la explotabilidad en categorías clave y acelerar pagos y validaciones cuando se cumplan los criterios.
Motivos y antecedentes del aumento en las recompensas
Según Ivan Krstić, el incremento en las cuantías es una forma de reconocer que encontrar fallos en la plataforma de Apple es cada vez más difícil, requiriendo más tiempo y habilidades especializadas. La meta es incentivar a los investigadores para que reporten responsablemente los fallos a Apple, en lugar de que estos lleguen a los mercados grises.
El programa de recompensas de Apple comenzó en 2016 como un programa por invitación, con pagos máximos de 200.000 dólares. En 2019, la compañía elevó el umbral a 1 millón de dólares, y desde su apertura al público en 2020, Apple ha distribuido más de 35 millones de dólares a más de 800 investigadores, con varios pagos individuales de 500.000 dólares.
El aumento en las recompensas está en línea con un marco defensivo más amplio, que incluye el modo de bloqueo presentado en 2022 y la nueva protección de integridad de la memoria. Estos avances elevan la barrera técnica para los atacantes, aunque Apple reconoce que no existe una seguridad absoluta. Casos como el de Pegasus y la denuncia contra NSO Group subrayan la prioridad de los ataques remotos de cero clics.
Calendario e implicaciones del programa
Los cambios anunciados entrarán en vigor a partir de noviembre, cuando Apple publique la lista completa de nuevas categorías y cuantías revisadas. Para participar en el programa, los investigadores deben remitir informes técnicamente detallados a través de security.apple.com/bounty/. Los pagos se determinan a discreción de Apple, basándose en el tipo de problema, el nivel de acceso alcanzado y la calidad del informe presentado.
El portal de Apple permite a los investigadores consultar y seguir cada caso, incluyendo el reconocimiento en notas de versión si una corrección deriva del reporte. Cuando corresponde, el sistema notificará automáticamente la concesión de la recompensa, mejorando la transparencia y la trazabilidad de todo el proceso de divulgación responsable.
Con esta actualización, Apple busca incentivar descubrimientos de alto impacto, expandir el alcance a más superficies de ataque y fomentar la colaboración continua con la comunidad investigadora. El mensaje es claro: priorizar las cadenas completas, recompensar la dificultad real y elevar la protección tanto de los colectivos más expuestos como del conjunto de usuarios, ofreciendo las recompensas más altas del sector.
Oct 11 2025
Apple eleva a 2 millones la recompensa por fallos críticos
Detalles del programa de recompensas de apple
El nuevo techo de recompensas se reserva para cadenas de exploits remotos que no requieren interacción del usuario, conocidos como ataques de cero clics. En estos casos, la recompensa puede alcanzar los 2 millones de dólares si el impacto de la vulnerabilidad es comparable a las campañas de spyware mercenario altamente sofisticadas.
Además de este nuevo máximo, Apple ha actualizado otras categorías de fallos:
El enfoque del programa prioriza los exploits de uno o cero clics y el impacto real frente a vulnerabilidades teóricas. Se han añadido ampliaciones específicas, como:
Este programa abarca iOS, iPadOS, macOS, watchOS, tvOS y visionOS, tanto en software como en componentes de infraestructura.
Bonificaciones y nuevas herramientas
Las bonificaciones dentro del programa de recompensas también han sido reforzadas. Eludir el modo de bloqueo con una cadena válida o encontrar fallos exclusivos en software beta puede activar multiplicadores y primas que sumen por encima de los 5 millones de dólares en escenarios extremos. Apple ha introducido «Target Flags», un mecanismo diseñado para demostrar de forma rápida y objetiva la explotabilidad en categorías clave y acelerar pagos y validaciones cuando se cumplan los criterios.
Motivos y antecedentes del aumento en las recompensas
Según Ivan Krstić, el incremento en las cuantías es una forma de reconocer que encontrar fallos en la plataforma de Apple es cada vez más difícil, requiriendo más tiempo y habilidades especializadas. La meta es incentivar a los investigadores para que reporten responsablemente los fallos a Apple, en lugar de que estos lleguen a los mercados grises.
El programa de recompensas de Apple comenzó en 2016 como un programa por invitación, con pagos máximos de 200.000 dólares. En 2019, la compañía elevó el umbral a 1 millón de dólares, y desde su apertura al público en 2020, Apple ha distribuido más de 35 millones de dólares a más de 800 investigadores, con varios pagos individuales de 500.000 dólares.
El aumento en las recompensas está en línea con un marco defensivo más amplio, que incluye el modo de bloqueo presentado en 2022 y la nueva protección de integridad de la memoria. Estos avances elevan la barrera técnica para los atacantes, aunque Apple reconoce que no existe una seguridad absoluta. Casos como el de Pegasus y la denuncia contra NSO Group subrayan la prioridad de los ataques remotos de cero clics.
Calendario e implicaciones del programa
Los cambios anunciados entrarán en vigor a partir de noviembre, cuando Apple publique la lista completa de nuevas categorías y cuantías revisadas. Para participar en el programa, los investigadores deben remitir informes técnicamente detallados a través de security.apple.com/bounty/. Los pagos se determinan a discreción de Apple, basándose en el tipo de problema, el nivel de acceso alcanzado y la calidad del informe presentado.
El portal de Apple permite a los investigadores consultar y seguir cada caso, incluyendo el reconocimiento en notas de versión si una corrección deriva del reporte. Cuando corresponde, el sistema notificará automáticamente la concesión de la recompensa, mejorando la transparencia y la trazabilidad de todo el proceso de divulgación responsable.
Con esta actualización, Apple busca incentivar descubrimientos de alto impacto, expandir el alcance a más superficies de ataque y fomentar la colaboración continua con la comunidad investigadora. El mensaje es claro: priorizar las cadenas completas, recompensar la dificultad real y elevar la protección tanto de los colectivos más expuestos como del conjunto de usuarios, ofreciendo las recompensas más altas del sector.
By Roger Casadejús Pérez • Blog 0