Una polémica sobre un pago de recompensas envuelve a Apple y Kaspersky. La realidad es que Apple tiene las manos atadas.
En 2023, la popular compañía de antivirus Kaspersky descubrió una gravísima vulnerabilidad del día cero en los iPhone. Según el programa de recompensas de Apple, debería haber cobrado hasta un millón de dólares. Pero Apple no va a pagar, aunque seguramente no es una decisión suya.
Todas las grandes compañías tecnológicas tienen activos programas de recompensas que pagan dinero si comunicas un bug importante, o una vulnerabilidad. No hay condiciones: seas un simple usuario o una empresa de seguridad, si el bug es relevante, cobras la recompensa.
Esto lo hacen para animar a los hackers a que descubran fallos antes que los ciberdelincuentes, y para evitar que los vendan en la Dark Web.
Apple no paga la recompensa a Kaspersky
En junio de 2023, la firma de seguridad Kaspersky, famosa por sus antivirus, desveló un malware que utilizaba cuatro vulnerabilidades del día cero en cadena, para infectar un iPhone y tomar el control. Lo llamó Operación Triangulación.
Era una vulnerabilidad muy grave, porque el malware podía extraer fotos, datos, geoposición, e incluso grabar conversaciones con el micrófono.
Kaspersky comunicó el grave fallo a Apple, y además usó ingeniería inversa para bloquear uno de esos agujeros. Apple lanzó enseguida un parche, incluyendo a Kaspersky en los reconocimientos.
Según el programa de recompensas de Apple, Kaspersky debería haber recibido un millón de dólares. Pero, en una entrevista recogida por la prensa local rusa, que nos llega vía 9to5Mac, el jefe de Kaspersky Lab, Dmitry Galov, ha dicho que Apple no les quiere pagar.
“Encontramos vulnerabilidades de día cero y de clic cero, transferimos toda la información a Apple e hicimos un trabajo útil. Teniendo en cuenta la cantidad de información que les proporcionamos y lo proactivamente que lo hicimos, no está claro por qué tomaron esta decisión”, asegura Dmitry Galov.
Galov incluso propuso a Apple donar el dinero a obras de caridad, pero Apple se negó a pagar, por “políticas internas”.
Como seguramente sabrás, Kaspersky es una compañía rusa, con sede en Moscú. Así que esta parece ser la razón por la que Apple no ha pagado.
Según el contrato del propio Programa de recompensas de Apple, “Las recompensas de Apple Security Bounty no podrán pagarse si se encuentra en alguno de los países embargados por Estados Unidos”. Puesto que Rusia es un país embargado por Estados Unidos, tras la invasión de Ucrania, Apple no puede hacer nada. Y Kaspersky también debería saber por qué Apple no ha pagado, si lee las condiciones.
Vivimos tiempos convulsos en los que la colaboración y las alianzas entre países y empresas que teníamos hace apenas unos años, está saltando por los aires. Es una gran desgracia.
Conoce cómo trabajamos en Computerhoy.
Etiquetas: Kaspersky, Industria, Ciberseguridad