Apple ha anunciado una actualización de gran calado en su programa de recompensas por vulnerabilidades, con incrementos significativos en los pagos máximos, nuevas categorías y un énfasis claro en fallos explotables en cadenas de spyware. La iniciativa busca hacer el canal de divulgación responsable más competitivo frente al mercado gris de zero‑days, donde las cadenas de zero-click para iOS han cotizado históricamente a precios elevados.
Recompensas máximas y categorías que suben de nivel
El cambio más visible es la duplicación del tope base para cadenas zero-click capaces de comprometer un dispositivo sin interacción del usuario: el pago máximo pasa a 2 millones de dólares. Con bonificaciones acumulables —como el bypass de Lockdown Mode y el reporte durante versiones beta— el cheque podría alcanzar de forma teórica hasta 5 millones de dólares, reservado a hallazgos de complejidad e impacto excepcionales.
En el frente del navegador, Apple revisa los escenarios de ataque: una cadena de one‑click que evite mitigaciones de WebKit, ejecute código y escape de la sandbox puede optar a 300 000 dólares. Si la cadena desemboca en ejecución de código no firmado con privilegios arbitrarios, el máximo sube hasta 1 millón de dólares.
También se refuerzan áreas históricamente difíciles: el bypass de Gatekeeper en macOS se recompensa hasta con 100 000 dólares, y el acceso no autorizado a iCloud hasta 1 millón de dólares. Para facilitar la entrada a nuevos investigadores, Apple establece pagos desde aproximadamente 1 000 dólares por vulnerabilidades de bajo impacto, incentivando la revelación temprana.
Defensa frente a spyware: zero‑click y Memory Integrity Enforcement (MIE)
La compañía eleva pagos para fallos aplicables a cadenas de spyware, en línea con campañas de intrusión documentadas por equipos como Citizen Lab y Google Threat Analysis Group (TAG), que han observado zero‑clicks a través de mensajería y procesamiento de contenidos. Además de Lockdown Mode, Apple anuncia Memory Integrity Enforcement (MIE): una protección de memoria siempre activa en iPhone que complementa capacidades de ARM como la autenticación de punteros y la separación de memoria.
En términos prácticos, MIE dificulta el movimiento lateral tras el acceso inicial y reduce la probabilidad de escalada de privilegios, al restringir manipulaciones peligrosas de memoria. Combinada con el aumento del bug bounty, esta medida crea una barrera técnica y económica que encarece y complica las operaciones de mercenarios digitales.
Target Flags: validación objetiva y pagos más predecibles
Apple introduce Target Flags, un mecanismo inspirado en CTF para acreditar capacidades: control de registros, lectura/escritura arbitraria, remote code execution o escape de sandbox, entre otras. Los flags se verifican de forma programática, por lo que la notificación de la cuantía llega inmediatamente tras la validación. El sistema cubre iOS, iPadOS, macOS, visionOS, watchOS y tvOS, reduciendo fricción, acelerando el triage y aportando previsibilidad al investigador.
Datos del programa y contexto de mercado
Desde su apertura al público en 2020, Apple afirma haber pagado más de 35 millones de dólares, con informes individuales que han alcanzado 500 000 dólares. Al elevar los techos hasta 2–5 millones para casos excepcionales, el canal oficial se vuelve más atractivo que las rutas de reventa, una dinámica relevante dado el alto valor de las cadenas iOS zero‑click en el mercado secundario.
Recomendaciones para investigadores y organizaciones
Quienes practican bug hunting deberían priorizar cadenas completas, poniendo foco en el bypass de Lockdown Mode, superficies WebKit y escenarios multiplataforma. El uso de Target Flags, la reproducción clara, dependencias mínimas y reportes bien estructurados aumentan la probabilidad de bonificaciones por excepcionalidad. Ámbitos prometedores incluyen mecanismos de aislamiento, validación de memoria, IPC (comunicación entre procesos) y servicios en la nube de Apple.
Para organizaciones y usuarios de alto riesgo: aplicar actualizaciones con celeridad, valorar la activación de Lockdown Mode en perfiles críticos, reducir la exposición de navegador y mensajería, reforzar políticas de macOS (incluido Gatekeeper) y aplicar controles MDM. Adoptar divulgación responsable y un SDLC seguro disminuye el riesgo global y acorta la ventana de ataque.
El aumento de recompensas, junto con MIE y Target Flags, perfila una divulgación más transparente y competitiva. Es un momento propicio para profundizar en aislamientos, memoria y WebKit, y para seguir de cerca los avisos de Apple Security Research. Invertir en investigación responsable y en higiene de parches hoy es la manera más eficaz de elevar la ciberresiliencia mañana.
