Apple: ‘Hackéanos’ y te pagamos
fuente: cnet.com
¿Cuánto cuesta una falla en el software de Apple? La respuesta a esta pregunta ha sido un misterio, porque Apple no solía pagarle a los investigadores de seguridad que reportan fallos del software a la empresa.
Pero eso cambió el jueves, cuando el director de seguridad de Apple, Ivan Krstic, dijo que la empresa le pagaría hasta US$200,000 a los «cazadores de bugs» que encuentren y reporten vulnerabilidades en un software específico de Apple.
«Nos place anunciar el programa de recompensas para la seguridad de Apple», dijo Krstic durante una charla en una conferencia de ciberseguridad en Las Vegas. También brindó detalles técnicos de la aproximación que toma Apple para proteger los datos de sus usuarios.
Las recompensas por encontrar bugs o fallos ha sido una tradición entre las grandes fabricantes de software, compañías de Internet y otras empresas que dependen mucho de las computadores, como Microsoft, Yahoo, Chrysler y United Airlines. El mes pasado, por ejemplo, Google dijo que en el pasado año había pagado un total de US$550,00o a gente que había descubierto vulnerabilidades en su software Android. En febrero, Facebook dijo que desde 2011, su programa de caza de bugs había desembolsado US$4.3 millones a más de 800 investigadores alrededor del mundo.
Los investigadores de ciberseguridad no son tímidos cuando se trata de publicar sus hallazgos al descubrir un fallo en el sistema de Apple. La empresa no suele ser el blanco de hackers, porque representa una menor cuota de mercado y porque sus productos tienden a ser más seguros. El poder encontrar uno de esos fallos es un logro con prestigio.
Pero no todos le informan a la empresa lo que han encontrado. Optan, en cambio, a vender la información de cómo irrumpir dentro del sistema de Apple a organizaciones gubernamentales y de hacking. Es posible que este programa de recompensas anime a los investigadores a compartir sus hallazgos con Apple primero.
Esto podría ayudar a la empresa a evitar un resultado similar en su litigio con el Departamento de Justicia de Estados Unidos. Apple protestó cuando el gobierno le pidió que le ayudara a descifrar la encriptación de un iPhone que perteneció a uno de los sospechosos del ataque terrorista en San Bernardino, California, en diciembre. En lugar de alargar el asunto con apelaciones, el gobierno federal decidió pagarle a un investigador de ciberseguridad para que le ayudase a acceder el teléfono.
Se calcula que el gobierno pagó menos de US$1 millón por esta técnica de hackeo, pero se desconoce la cifra exacta.
Quizá, si Apple ofreciera una recompensa para hallar grandes fallas de seguridad se hubiera evitado esa situación, dijo Rich Mogull, presidente ejecutivo de la firma de ciberseguridad Securosis. Pero, cuando se trata de herramientas muy valiosas para hackear los productos de una empresa, dijo Mogull, «Apple no podrá superar la oferta de un gobierno o de un mafioso ruso que puede desembolsar US$1 millón».
Lo que sí podrá hacer el programa es animar a los desarrolladores es ahondar sus hallazgos, dijo Mogull. En vez de encontrar un fallo y luego seguir con sus vidas, los expertos tendrán una razón para probar que el fallo representa una verdadera vulnerabilidad frente a los hackers. Esta prueba se requiere antes de que Apple decida pagar al cazador.
Apple dijo que la recompensa apunta a reconocer cuán difícil es hallar fallos en sus sistemas. A medida que la empresa ha reforzado la seguridad de sus productos a través de la encriptación y sigue con mano firme cuando de control de su software se trata, el desafío de penetrar esa seguridad se ha vuelto aún mayor.
Los pagos dependen de dónde se encuentre el fallo, y el programa no estará abierto a cualquier hacker, según Apple. Cuando se lance en septiembre, el programa incluirá un par de docenas de investigadores con los que ha trabajado Apple previamente. Pero, si un investigador externo a este grupo encuentra una falla de valor, dijo Apple, la empresa considerará pagarles.