Kaspersky acusa a Apple de "hacer trampa" con las bonificaciones.

Según 9to5Mac , Kaspersky, una destacada empresa rusa de ciberseguridad, causó revuelo al revelar que Apple se negó a pagar una recompensa por el descubrimiento de una grave vulnerabilidad de día cero en iOS. Esta vulnerabilidad formaba parte de una sofisticada campaña de espionaje denominada «Operación Triangulación», descubierta por Kaspersky el año pasado.

Según Kaspersky, proporcionaron de forma proactiva información detallada sobre la vulnerabilidad a Apple y se ofrecieron a donar la recompensa a organizaciones benéficas, pero Apple se negó sin dar una explicación específica.

Esta vulnerabilidad de día cero forma parte de una serie de cuatro vulnerabilidades explotadas en la campaña de triangulación, que permiten a los atacantes penetrar y tomar el control total de los dispositivos iPhone afectados.

Kaspersky incluso realizó ingeniería inversa de una de las vulnerabilidades en la cadena de ataque, con nombre en clave CVE-2023-38606. Los expertos en seguridad descubrieron que el kernel de iOS se estaba utilizando para ejecutar código arbitrario y elevar los privilegios de usuario. Kaspersky analizó e informó sobre una de estas vulnerabilidades, lo que ayudó a Apple a publicar un parche de seguridad de emergencia.

Según el programa de recompensas por errores de Apple, las vulnerabilidades de día cero pueden ser recompensadas con hasta un millón de dólares. Sin embargo, el hecho de que Kaspersky tenga su sede en Rusia, un país sujeto a sanciones estadounidenses, podría ser la razón por la que Apple no puede pagar la recompensa.

La decisión de Apple ha generado controversia en la comunidad de ciberseguridad, y algunos expertos sugieren que Apple debería haber adoptado un enfoque más flexible, como donar la recompensa a una organización benéfica en nombre de Kaspersky, para evitar violar las sanciones.