El programa de recompensas de Apple, con el que paga una barbaridad de dinero a quien detecte vulnerabilidades en los sistemas instalados en sus dispositivos y máquinas. Mantiene a los hackers más avanzados tratando de buscar esos posibles errores para reclamar estos premios. Algunos lo han logrado y se han llevado jugosas gratificaciones.
Garantizar la seguridad de sus sistemas es un tema prioritario para cualquier empresa que trabaje en el mundo de la informática y las comunicaciones. Por eso las grandes compañías del sector invierten inmensas cantidades de recursos para lograr los mayores niveles de seguridad posibles y garantizar el resguardo de datos y sistemas.
Sin embargo, por más que invierten en sofisticados dispositivos y sistemas de seguridad, siempre quedan vulnerabilidades. Estos errores pueden ser localizados y utilizados por terceros con malas intenciones. Por tal razón, las organizaciones empresariales promueven planes de recompensas para quienes encuentren esos y los reporten.
Este mismo sistema es el que usa el gigante mundial de la industria de los ordenadores y la telefonía móvil. Impulsa uno de los más atractivos programas de recompensas con premios que llegan hasta el millón de euros. Cualquier hacker ético puede esforzarse y ganar un buen dinero. Para esto ha de encontrar cualquiera de los fallos que valen para reclamar las recompensas.
Hacking ético en marcha
Los técnicos que trabajan encontrando esos fallos para ayudar a las compañías son llamados hackers éticos. Realizan esto con fines positivos, no con las intenciones de quienes han dado un mal concepto a la palabra “hacker”.
Hay empresas que para solucionar problemas internos, tienen que contratar un hacker que haga las revisiones técnicas correspondientes. Aparte de comprobar los sistemas para detectar los fallos, tal como podría hacer un cyberdelincuente. Pero con la diferencia de que este último lo haría para aprovecharse de la vulnerabilidad y sacar un provecho económico. Por contra, el hacker ético lo hará para mejorar la seguridad interna.
Los hackers técnicos, lo hacen para informar, comunicar, y por supuesto, para ganar la recompensa. El problema se puede presentar cuando lo que pagan los programas de recompensas es mucho menos de lo que costaría vender esa vulnerabilidad en el mercado negro. Ahí es donde definitivamente tiene que ver la moral y la ética de cada persona.
El año pasado, por ejemplo, Ryan Pickren, encontró vulnerabilidades en las cámaras de los iPhone, por lo que podían ser fácilmente hackeadas. Pickren demostró que la cámara puede ser atacada debido a tres vulnerabilidades de día cero (Zero-day). Con lo que ganó los 75.000 euros que Apple pagó con su plan de recompensas.
El hacking ético es muy importante para la optimización de los sistemas de seguridad de las grandes empresas. Sobretodo las que prestan servicios de comunicación e informática. Principalmente aquellas que manejan grandes cantidades de usuarios en línea, Facebook, Instagram, Twitter, Google y Microsoft, solo por nombrar algunas.
Gracias a los hackers éticos se detectan fallos y vulnerabilidades, y se atacan a tiempo, evitando daños para los usuarios de los sistemas en los que se encuentren las irregularidades.
Fallos detectados que premia Apple
La empresa Apple paga a los hackers éticos cuando detectan algunos fallos que están clasificados por tipos y niveles, que pueden ir desde los 100.000 euros hasta el 1.000.000 de euros. Por supuesto, cuanto más complicada sea la vulnerabilidad detectada y mayor nivel de afectación pueda causar en los sistemas, el paga será mayor.
A continuación puedes revisar la clasificación de fallos que Apple tiene en su programa de recompensas:
- Ataque a dispositivos de manera física: integran saltar la pantalla de bloqueo, por lo que pagan 100.000€, y extracción de datos, que premian con 250.000€.
- Ataques a dispositivos por medio de apps instaladas por el usuario: valen como vulnerabilidades para el acceso no autorizado a datos y a la ejecución de códigos kernel, por los que pagan 100.000€; y ataque del “canal lateral”, por el que Apple paga 250.000€.
- Ataque en red por interacciones de usuario: el acceso no autorizado en un solo clic, es un fallo que se recompensa con 150.000€, y la ejecución de códigos kernel con un clic, con 250.000€.
- Ataques en red sin interacciones de usuario: son los más recompensados, por su alta complejidad. Entre ellos se incluyen los ataques por radio con solo tener proximidad física con el dispositivo, que se premia con 250.000€; y acceso no autorizado sin clic a datos sensibles, que tiene un premio de 500€.
En esta clasificación entran las vulnerabilidades que el programa de recompensas de Apple premia con el millón de euros, y son aquellas que están relacionadas con la ejecución de códigos kernel sin hacer clic, con persistencia, y pasando el PAC de seguridad.
Si algún programador o hacker ético logra encontrar una vulnerabilidad en las áreas detectadas, simplemente tiene que elaborar su informe, comunicarlo a las instancias competentes de Apple y reclamar su premio. Suena fácil, pero realmente los sistemas de seguridad de la compañía son bastante altos, por lo que es difícil encontrar este tipo de fallos.
Sin embargo, hay quienes encuentran esas inestabilidades que pueden atacarse, lo hacen y se ganan su recompensa, tal como lo hizo Ryan Princken al encontrar la manera de hackear las cámaras de los sistemas iOS. O sea, que sí pasa, y así con muchos ejemplos más.
Lamentablemente, la palabra “hacker” ha sido satanizada por los medios de comunicación por culpa de quienes utilizan sus habilidades para cometer crímenes informáticos y financieros, pero la realidad es que gracias a quienes sí utilizan sus destrezas para bien, los sistemas son cada vez más seguros, beneficiando a los millones de usuarios que las empresas de comunicación tienen en el mundo.
El hacking ético ha dado importantes aportes a internet y a la vida de muchos, quienes también los contratan para trabajos particulares en sus empresas o para realizar algunas labores de investigación tecnológica privadas. En definitiva, son un excelente apoyo para todos.