Apple ha abierto el proceso de solicitudes para el Security Research Device Program (SRDP) 2026, su iniciativa dirigida a investigadores de seguridad con acreditada trayectoria. La convocatoria, que cierra el 31 de octubre de 2025, facilita el acceso a iPhone de investigación específicamente configurados para análisis profundo de seguridad de iOS.
Qué ofrece el Security Research Device Program a los investigadores de iOS
Activo desde 2020, el SRDP suministra dispositivos iPhone con capacidades ampliadas de diagnóstico y depuración que no están disponibles en equipos comerciales. El objetivo es permitir pruebas avanzadas sin tener que eludir protecciones del sistema, reduciendo riesgos legales y técnicos, y acelerando el ciclo de investigación y validación.
Entre los beneficios clave figuran el acceso con shell para ejecutar herramientas propias, visibilidad temprana sobre componentes de software y mitigaciones de iOS, y utilidades específicas para reproducir y analizar fallos. Los dispositivos se entregan bajo un acuerdo renovable cada 12 meses y no están destinados al uso personal.
Requisitos, modelos posibles y calendario
Podrán postular profesionales con experiencia verificable en hallazgo y divulgación responsable de vulnerabilidades, ya sea en el ecosistema Apple o en otras plataformas modernas. En la práctica, se valora contar con CVE asignados, publicaciones técnicas, repositorios de pruebas y resultados de investigación independientes.
Apple no ha confirmado qué modelo de iPhone integrará el SRDP 2026. Por cadencia de producto, las opciones probables incluyen iPhone 16 o el futuro iPhone 17, aunque la compañía suele concretarlo cerca del inicio de la distribución de los dispositivos. La fecha límite de solicitud es el 31 de octubre de 2025.
Bug bounty de Apple: cifras y prioridades de vulnerabilidad
Las vulnerabilidades identificadas mediante SRDP se remuneran a través del bug bounty de Apple. Según datos de la compañía, en 2024 se recompensó a más de 100 participantes; varias recompensas alcanzaron los 500.000 dólares y la mediana se situó cerca de 18.000 dólares. Este rango se alinea con la práctica del sector y prioriza fallos de alto impacto como escapes de sandbox, escaladas de privilegios en kernel, bypass de protecciones de memoria (p. ej., PAC) y cadenas RCE sin interacción del usuario.
La tendencia es coherente con otros programas líderes, como Google VRP y Microsoft MSRC, cuyas bolsas y topes de pago han crecido en respuesta a la mayor sofisticación de los ataques y a la necesidad de encontrar defectos críticamente explotables antes de su uso en entornos reales.
Por qué SRDP refuerza la seguridad del ecosistema iOS
Profundidad técnica y reproducibilidad
La visibilidad adicional en los iPhone de investigación reduce el “ruido” en pruebas complejas y facilita la reproducción de exploits, algo esencial en vulnerabilidades en límites de privilegios, aislamiento intra‑proceso o IPC. Probar hipótesis y parches con rapidez acorta el tiempo de corrección y mejora la calidad de los fixes.
Efecto sistémico y divulgación responsable
El SRDP canaliza la divulgación responsable y permite coordinar correcciones considerando compatibilidad, rendimiento y consumo energético. Usuarios, desarrolladores y organizaciones se benefician de una plataforma más resiliente y de plazos de mitigación más cortos.
Cómo aumentar tus opciones de selección
Para maximizar la probabilidad de ser admitido, conviene presentar un plan de investigación claro: áreas de foco como kernel, drivers, PAC/Pointer Authentication, JIT o escapes de sandbox; metodología, tooling propio y evidencias de divulgación responsable.
También es recomendable compilar un portafolio exhaustivo (CVE, publicaciones, PoC controladas), demostrar cumplimiento legal y confirmar la adhesión a las condiciones del programa, incluido el no uso personal del dispositivo y el respeto a la confidencialidad.
La ventana de solicitudes para el SRDP 2026 es una oportunidad para obtener un entorno legal y potente de investigación en seguridad de iOS. Quienes cumplan los criterios deberían postular antes del 31 de octubre de 2025. El resto de equipos puede fortalecer su postura aplicando buenas prácticas: reducir superficie de ataque, gestionar permisos con criterio mínimo, actualizar con prontitud, auditar configuraciones y monitorizar telemetría. La colaboración entre fabricantes y comunidad investigadora seguirá elevando el nivel base de seguridad móvil.
