Apple ofrece una recompensa de hasta un millón de dólares a quienes detecten problemas o fallos en su inteligencia artificial, denominada Apple Intelligence, específicamente en su sistema Private Cloud Compute (PCC), diseñado para maximizar la privacidad en el procesamiento de inteligencia artificial en la nube.
Esto significa que, si una persona externa a la compañía dirigida por Tim Cook identifica una vulnerabilidad en este sistema que pueda ser explotada en un ataque de ciberseguridad, poniendo en riesgo los datos de los usuarios que emplean funciones de IA en sus dispositivos iPhone, iPad o Mac, podría recibir esta suma de dinero como recompensa.
La empresa afirmó: “Nos complace anunciar que estamos ampliando Apple Security Bounty para incluir a PCC, con importantes recompensas para quienes informen sobre problemas que afecten nuestras afirmaciones de seguridad o privacidad”.
Apple Security Bounty es un programa de recompensas lanzado por Apple para incentivar a investigadores de seguridad y expertos en ciberseguridad a encontrar y reportar vulnerabilidades en sus sistemas, dispositivos y servicios.
Cuáles son las recompensas de Apple
Las recompensas de Apple para quienes identifiquen vulnerabilidades en el sistema de gestión de privacidad de su IA se ajustan según la gravedad y el impacto del problema detectado:
- Ataque remoto a datos solicitados
Un ataque remoto a datos solicitados se refiere a una situación en la que una persona no autorizada puede acceder, a través de internet o una red, a información privada o a datos que deberían estar protegidos en la nube de Apple. Este tipo de ataque puede incluir dos situaciones específicas:
- Ejecución de código arbitrario con derechos arbitrarios: Esto implica que un atacante puede hacer que el sistema ejecute cualquier acción o comando como si tuviera permisos de administrador, lo que representa una vulnerabilidad crítica. Identificar una falla de este tipo puede generar una recompensa máxima de 1 millón de dólares.
- Acceso a los datos de solicitud de un usuario o a información confidencial fuera del límite de confianza: Esto se refiere a obtener datos privados del usuario o información sensible relacionada con las solicitudes del usuario que debería estar protegida por medidas de seguridad. Si se identifica esta vulnerabilidad, la recompensa máxima es de 250 mil dólares.
En ambos casos, el programa de recompensas de Apple busca incentivar a los investigadores de seguridad a encontrar y reportar estos problemas antes de que puedan ser explotados.
- Ataque a solicitud de datos desde una posición privilegiada en la red
Un ataque a solicitud de datos desde una posición privilegiada en la red ocurre cuando alguien con un acceso elevado o especial en la red (como un administrador o alguien que puede manipular la infraestructura de red) explota su posición para acceder a datos privados o ejecutar acciones que normalmente estarían restringidas.
En este tipo de ataques, Apple ofrece recompensas para quienes identifiquen vulnerabilidades específicas:
- Acceso a los datos solicitados por un usuario u otra información confidencial sobre el usuario fuera del límite de confianza: Esto significa que el atacante puede ver información privada del usuario que debería estar protegida. Detectar una vulnerabilidad de este tipo puede generar una recompensa de hasta 150 mil dólares.
- Capacidad de ejecutar código no certificado: En este caso, el atacante logra que el sistema ejecute código que no ha sido aprobado o certificado, lo cual representa un riesgo de seguridad. Identificar esta vulnerabilidad puede tener una recompensa de hasta 100 mil dólares.
- Divulgación de datos accidental o inesperada debido a problemas de implementación o configuración: Esto ocurre cuando se filtran datos de manera inesperada por errores en la configuración o implementación del sistema. Detectar este tipo de problema puede generar una recompensa de hasta 50 mil dólares.
Estas recompensas buscan motivar a los expertos en seguridad a identificar y reportar estos problemas para proteger la privacidad de los usuarios y mejorar la seguridad de los sistemas de Apple.
Cómo reportar una falla así a Apple
Si una persona externa a Apple llega a descubrir una vulnerabilidad de estos tipos, debe dirigirse a la página de Apple Security Bounty y presentar su informe.