Kaspersky acusa a Apple de hacer trampa con las recompensas

Según 9to5Mac , Kaspersky, empresa rusa líder en ciberseguridad, causó revuelo al revelar que Apple se negó a pagar una recompensa por descubrir una vulnerabilidad crítica de día cero en iOS. Esta vulnerabilidad formaba parte de una sofisticada campaña de espionaje denominada «Operación Triangulación», descubierta por Kaspersky el año pasado.

Según Kaspersky, proporcionaron de forma proactiva información detallada sobre la vulnerabilidad a Apple y ofrecieron donar el botín a una organización benéfica, pero Apple se negó sin dar una explicación específica.

Esta vulnerabilidad de día cero es parte de una serie de cuatro vulnerabilidades explotadas en la campaña Triangulación, que permite a los atacantes comprometer y tomar el control total de los dispositivos iPhone afectados.

Kaspersky incluso realizó ingeniería inversa en una de las vulnerabilidades de la cadena de ataque, cuyo nombre en código es CVE-2023-38606. Expertos en seguridad descubrieron que el kernel de iOS se utilizaba para ejecutar código arbitrario y elevar los privilegios de los usuarios. Kaspersky analizó e informó sobre una de estas vulnerabilidades, lo que ayudó a Apple a publicar un parche de seguridad de emergencia.

Bajo el programa de recompensas por errores de Apple, las vulnerabilidades de día cero pueden recibir una recompensa de hasta un millón de dólares. Sin embargo, la ubicación de Kaspersky en Rusia, un país bajo sanciones estadounidenses, podría ser la razón por la que Apple no puede pagar la recompensa.

La decisión de Apple ha generado controversia en la comunidad de ciberseguridad, y algunos expertos sugieren que Apple debería haber adoptado un enfoque más flexible, como donar la recompensa a una organización benéfica en nombre de Kaspersky, para evitar violar las sanciones.