Los hackers prefieren vender agujeros de seguridad en vez de notificarlos a Apple a cambio de una recompensa insuficiente

Los hackers prefieren vender agujeros de seguridad en vez de notificarlos a Apple a cambio de una recompensa insuficiente

17 comentarios Facebook Twitter Flipboard E-mail
Los hackers prefieren vender agujeros de seguridad en vez de notificarlos a Apple a cambio de una recompensa insuficiente

Rebobinemos el reloj hasta agosto del año pasado. A comienzos de ese mes se celebró la conferencia de expertos de seguridad Black Hat, a la que Apple acudió oficialmente a dar una presentación sobre el tema. Ivan Krstić fue el empleado de Apple encargado de dar la conferencia, en la que aprovechó para anunciar un programa de recompensa para quienes encontraran fallos en la seguridad de iOS. Los premios llegaban a alcanzar los 200.000 dólares.

Casi un año después, el programa de recompensas no estaría teniendo el impacto esperado según un artículo de Motherboard (vía MacRumors). Todo porque la rentabilidad no es la misma que la obtenida en el mercado gris (o negro). 

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET VPN, DNS y páginas con HTTPS

La alta seguridad dispara el precio de los agujeros en iOS y macOS

Lydia

Partiendo del hecho de que no hay sistemas seguros al 100%, sí que es de sobra conocido que Apple se toma muy en serio la de sus sistemas. Apple protege celosamente sus sistemas como una manera de garantizar una experiencia de usuario óptima y de diferenciación frente a la competencia. De ahí que iOS sea un sistema más cerrado que los de otros competidores, aunque de un tiempo a esta parte han cambiado muchas cosas. Tanto en iOS como en Android.

Esto provoca varios efectos cuando hablamos de agujeros de seguridad:

  • Encontrarlos requiere un esfuerzo importante por parte de los hackers.
  • Cuanto más difícil es, mayor debe ser la compensación que se recibe por descubrirlos.
  • Hay que tener en cuenta que, en muchas ocasiones, un bug sirve para encontrar más bugs. De modo que desvelar uno genera un efecto en cadena.
recompensas apple
Romper la seguridad de iOS es un objetivo muy goloso tanto para agencias gubernamentales y estados autoritarios como organizaciones criminales

El interés por romper la seguridad de un iPhone o iPad es muy elevado por parte de agencias de inteligencia, seguridad civil y, también, organizaciones criminales. Este tipo de organizaciones e instituciones llegan a pagar sumas de hasta 1,5 millones de dólares por métodos que consigan liberar un iPhone (en otras palabras, hacerle jailbreak).

Lo que comenzó como una forma inocente de explorar los límites de los dispositivos de Apple, ha acabado convirtiéndose en un negocio que trabaja en las sombras. El aumento de la dificultad hace que el jailbreak sea más difícil que nunca y que cada vez haya menos usuarios que lo utilizan. Un círculo vicioso que ahoga esta práctica y comunidad con cada iteración de iOS.

¿Qué puede hacer Apple al respecto?

Aquí, la reacción lógica de muchos sería responder aumentando las recompensas. Que en vez de 200.000 dólares como máximo, se equipare a lo que ofrece el mercado gris: 1 millón de dólares. Si es un problema de dinero, ¿por qué no ofrecer 2 millones? ¿Y 10 millones? No será porque la compañía tiene poco a su disposición. El problema es que esto provocaría una guerra armamentística que dispararía las recompensas.

jz

Sin duda, el componente económico es una parte importante. Si lo tomamos como un trabajo, nadie acude a la oficina todos los días por amor al arte. Pero no es lo único que mueve a las personas. Hay otros drivers de motivación que van más allá del aspecto monetario:

  • Reconocimiento público. Los hackers que rastrean bugs y buscan exploits quieren que se les reconozca de forma pública. Poder decir "yo soy el que encontró la manera de hacer X cuando todo el mundo pensaba que era imposible". Ego puro y duro.
  • Una línea de currículum adicional. No es lo mismo decir "he roto la seguridad de la empresa Aceros Pepito SA" que poder afirmar lo mismo pero con un iPhone. Otra vez, prestigio social.
  • Dar la oportunidad de hacer algo bueno por la humanidad. Defender el cifrado como un derecho fundamental frente a gobiernos y agencias de inteligencia.
  • Relacionado con lo anterior, poder expandir los valores en los que uno cree y comparte con la compañía.
  • Posibilidad de trabajar con más medios, conocer a otros investigadores con los que se comparten inquietudes e ideas y hacerlo con total libertad. Si os acordáis, hace unos meses Apple contrató al experto de seguridad Jonathan Zdziarski (quien posteriormente borró su cuenta de Twitter).

Este último punto cumple un doble propósito: "sacar" de la circulación a alguien potencialmente peligroso para que trabaje para la compañía, al mismo tiempo que se le ofrece la posibilidad de seguir investigando en lo que quiera, pero con el respaldo oficial de Apple. Los hackers no dejan de ser investigadores, por lo que ofrecerles esto es muy tentador. Se acabó la precariedad, la escasez de tiempo y medios.

El dinero es importante para estos investigadores, pero hay muchas otras maneras de motivarles a colaborar con el programa de seguridad de Apple

Lo cierto es que Apple ya realiza algunas de estas acciones. Pero no de manera sistemática y pública, por lo que podría mejorarlo. Un hackaton anual, premios en metálico con trofeos y certificados, un "salón de la fama" y la creación de becas de estudios y de trabajo en verano son iniciativas que reforzarían esos componentes intangibles de recompensa.

Esperemos que la creación del programa de recompensa el año pasado fuera sólo el comienzo. De lo contrario, el valor y riesgo de los agujeros de seguridad seguirá aumentando y podría tener consecuencias desagradables.

En Applesfera | En el PWNFEST de este año lo han conseguido, un exploit de Safari da acceso root a macOS Sierra.

Imagen | Tinh tế Photo.

Comentarios cerrados
Inicio