En el mundo de la ciberseguridad, el valor de una vulnerabilidad puede medirse en millones de dólares, especialmente si esa vulnerabilidad otorga acceso a uno de los dispositivos más utilizados en el planeta: el iPhone. Un artículo reciente en TechCrunch revela que el precio de las vulnerabilidades conocidas como exploits “zero-day” para los dispositivos de Apple está alcanzado cifras bastante asombrosas, llegando a ofrecerse entre 3 y 7 millones de dólares por vulnerabilidades no parcheadas en iOS. Aquí, ¿quedan dudas de si el iPhone es seguro?
El mercado de los exploits zero-day
Un exploit zero day, o de día cero, es una vulnerabilidad en el software que sus creadores aún no han identificado. Estos fallos pueden ser utilizados por hackers para infiltrarse en dispositivos sin dejar rastro, ya que no existe una solución para el problema al momento del ataque. Empresas como Crowdfense y Zerodium, según la información recogida por TechCrunch, se dedican a la compra de estos exploits para luego revenderlos, usualmente a agencias gubernamentales o contratistas que alegan necesitar estas herramientas para labores de vigilancia o investigación.
La reciente publicación de Crowdfense marca un hito en el precio de estos exploits, particularmente para los dispositivos de Apple. Según su lista de precios, los exploits del iPhone han visto un aumento significativo desde 2019, cuando la empresa ofrecía 3 millones de dólares por ellos. Ahora, la cifra ha escalado hasta 7 millones, dependiendo de la naturaleza y la potencialidad del exploit.
La ley de la oferta y la demanda cuenta toda una historia
La ley de la oferta y la demanda, junto a algunas otras variables, determina los precios de los productos en el mercado. Cuanto más raro o difícil de conseguir es algo, mejor se paga. Pasa así con las piedras preciosas, por ejemplo, y también con los exploits.
Este aumento en el precio de los exploits, por lo tanto, puede leerse desde dos perspectivas diferentes. Por una parte, indica que —lo hemos visto con iOS 17 y macOS Sonoma— Apple ha mejorado significativamente la seguridad de sus dispositivos, haciendo más difícil para los atacantes encontrar y explotar vulnerabilidades. Por la otra parte, el valor creciente de estos exploits también subraya la importancia crítica que estos dispositivos juegan en nuestras vidas, almacenando información personal y empresarial de inmenso valor por el que los atacantes están dispuestos a pagar inmensas sumas.
Apple tiene, de hecho, sus recursos a la hora de asegurar nuestros dispositivos. La compañía ofrece su propio programa de recompensas, el Apple Security Research Bounty, que puede pagar hasta 2 millones de dólares por reportes de vulnerabilidades. Una cifra que palidece en comparación con lo ofrecido en otros mercados, pero que tiene otras ventajas, como el reconocimiento público por parte de la empresa, lo que da reputación al descubridor y también el saber que comunicando el descubrimiento a Apple se ayuda a mejorar la seguridad de millones de dispositivos.
Un indicador de dificultad que a su vez repercute en la seguridad
Si ahondamos un poco más en materia, más allá de la ley de la oferta y la demanda que comentábamos, el mercado de los exploits es, sin duda, un arma de doble filo. Por una parte, la existencia de empresas dispuestas a pagar millones por estas vulnerabilidades puede incentivar a los investigadores de seguridad a buscar y reportar fallos, contribuyendo así a una mayor seguridad en los dispositivos. Por otra parte, el uso de estos exploits por parte de gobiernos y organizaciones para vigilancia y espionaje plantea serias preguntas sobre la privacidad y la ética en la era digital.
En este contexto, el valor de un exploit de iPhone se convierte en un indicador de la eficacia de las medidas de seguridad de Apple. Cada nueva versión de iOS se somete a un escrutinio intenso por parte de investigadores y atacantes por igual, en un intento por encontrar el próximo gran fallo que podría valer millones. Para los usuarios, esto significa que, aunque ninguna tecnología puede ser completamente segura, el alto precio de estos exploits se traduce en que los dispositivos de Apple son tan seguros como es posible.
Dicho de otra forma, si fuera fácil encontrar un fallo en la seguridad de nuestros dispositivos, serían mucho más bajos los precios que llevan años aumentando y aumentando. En última instancia, la seguridad de un iPhone depende no solo de las medidas implementadas por Apple, sino también de nuestro comportamiento en la gestión de nuestra propia seguridad digital. Dicho esto, 7 millones de dólares por un ataque es una cantidad enorme de dinero. Y es así porque se trata de algo muy escaso. Y eso es porque, en efecto, el iPhone es realmente muy seguro.
