Bub Bounty ofrece recompensas a quienes encuentren vulnerabilidades

Los investigadores que buscan vulnerabilidades en los OS de Apple se quejan de que “no siempre se paga lo que se debe”

31
Apple parchea una vulnerabilidad para macOs

Desde hace un lustro Apple cuenta con su programa Bub Bounty, por el cual ofrece recompensas monetarias a aquellos sujetos que sean capaces de encontrar y reportar vulnerabilidades en sus sistemas operativos iOS, macOS, watchOS, tvOS, iPadOS e iCloud. Anteriormente era por invitación, hasta que a partir de 2019 lo abrió a cualquier investigador de seguridad.

Sin embargo, los investigadores no están demasiado contentos con cómo funciona el programa ni con cómo la empresa de Cupertino los compensa económicamente.

Varias docenas de participantes han compartido sus testimonios con The Washinton Post, medio que ha recogido sus quejas. Entre las críticas principales están que Apple resulta algo lenta a la hora de corregir errores y no siempre paga lo que debe.

Los investigadores se lamentan de que Apple limite el feedback en relación a qué bugs recibirán una recompensa. Además, hay algunos empleados de la casa actuales y antiguos que aseguran que a la compañía de Tim Cook se le acumula el trabajo y hay muchos errores reportados que todavía no habrían sido resueltos.

Esta negativa de Apple ha mostrarse más abierta con los participantes habría ocasionado que muchos investigadores de seguridad se hayan desanimado y en lugar de proporcionar a Apple sus vulnerabilidades se las vendan a clientes como agencias gubernamentales o empresas que ofrecen servicios de piratería.

Que la firma de Cupertino no “se estire” mucho con los pagos tampoco ayuda demasiado. En 2020 la compañía pagó a los investigadores 3,7 millones, menos de la mitad de los 6,7 millones que Google proporcionó a los especialistas en ciberseguridad por encontrar agujeros y mucho menos de los 13,6 millones que dio Microsoft.

Mientras estos dos gigantes u otros como Facebook destacan y forman a aquellos investigadores que hallan sus errores, les ofrecen recursos y celebran conferencias, Apple tiene un perfil más bajo en este aspecto.

A la larga, esta mala reputación de Apple en la comunidad de la ciberseguridad podría suponerle tener productos menos seguros y más costes para encontrar vulnerabilidades, según advierte la fundadora de Luta Security, Katie Moussouris.

Apple no cree que haya ningún problema

En cualquier caso desde The Washington Post se han puesto en contacto con la empresa y su jefe de ingeniería y arquitectura de seguridad, Ivan Krstic, ha asegurado que su programa ha resultado en éxito y en 2020 se duplicó la cantidad ofrecida como recompensa respecto a 2019.

También estamos planeando introducir nuevas recompensas para que los investigadores sigan ampliando la participación en el programa, y ​​continuamos investigando caminos para ofrecer nuevas e incluso mejores herramientas de investigación que cumplan con nuestro riguroso modelo de seguridad de plataforma líder en la industria“, añade el directivo.

Artículo
El programa Bug Bounty de Apple, mal valorado por los hackers
Nombre
El programa Bug Bounty de Apple, mal valorado por los hackers
Descripcion
Los investigadores no están contentos con cómo funciona el programa ni con cómo la empresa de Cupertino los compensa económicamente.
Autor
Publico
Escudo Digital
Logo