Durante años, Apple ha construido la imagen del Mac como el ordenador para quienes ponen la seguridad y la privacidad por encima de todo: un ecosistema cerrado, controles estrictos sobre las apps, actualizaciones frecuentes y el mensaje, más o menos explícito, de que en macOS “las cosas malas pasan menos”. Por eso, el último giro en su programa de recompensas de seguridad ha caído como un jarro de agua fría entre investigadores y profesionales del sector: pocas semanas después de presumir de subidas en las recompensas, la compañía ha recortado de forma notable los pagos por vulnerabilidades relacionadas con macOS, justo en un momento en el que el malware para Mac está viviendo una etapa de expansión.
Para entender la polémica, hay que recordar qué es exactamente un programa de bug bounty. 
En lugar de depender únicamente de equipos internos, las grandes tecnológicas pagan a investigadores externos que descubren y reportan fallos de seguridad de forma responsable. Es un acuerdo win-win: el investigador recibe una compensación económica legítima por su trabajo, y la empresa se entera de la vulnerabilidad antes de que llegue a mercados opacos o a manos de actores maliciosos. Cuando se trata de bugs que pueden abrir la puerta a millones de dispositivos, esas recompensas suelen ser significativas.
En los últimos años daba la sensación de que Apple, por fin, empezaba a tomarse en serio este modelo. Subió algunos límites máximos, aclaró un poco mejor las reglas del juego y empezó a hablar más a menudo de su colaboración con la comunidad de seguridad. Ese clima relativamente optimista se rompió cuando el investigador de macOS Csaba Fitzl, de la empresa Iru, se detuvo a analizar la versión actualizada de la tabla de recompensas publicada por Apple. En un análisis compartido en LinkedIn, Fitzl desgranó cómo varias categorías clave relacionadas con macOS han sufrido recortes muy agresivos.
El caso más llamativo es el de los bypass completos de TCC, el sistema Transparency, Consent and Control. TCC es la capa que ves cuando macOS te pregunta si una app puede acceder a la cámara, al micrófono, a tus Fotos, al calendario o a otros datos sensibles. Un bypass completo significa que una aplicación maliciosa puede saltarse todas esas ventanas de permiso y acceder a tu información personal en silencio. Hasta hace poco, Apple pagaba hasta 30.500 dólares por descubrir una vulnerabilidad de este calibre. Con el nuevo esquema, la recompensa máxima por un bypass completo de TCC en macOS se queda en 5.000 dólares, un recorte de alrededor del 83% en uno de los tipos de fallos más graves para la privacidad del usuario.
Otro golpe importante afecta a las vulnerabilidades de escape de sandbox. La sandbox es, simplificando, el corralito en el que se ejecuta una app: limita sus privilegios para evitar que, si algo va mal, pueda comprometer todo el sistema. Un sandbox escape le permite a un atacante salir de ese corralito y ejecutar código con más poder del que debería. Antes, Apple ofrecía en torno a 10.000 dólares por este tipo de hallazgos en macOS; ahora, el techo se ha reducido también a 5.000 dólares. Es decir, se paga más o menos la mitad por fallos que, en escenarios reales, suelen ser piezas clave en cadenas de explotación completas.
La tercera categoría conflictiva son las vulnerabilidades que permiten acceder a datos protegidos por TCC, como fotos o documentos, sin utilizar el TCC Target Flag. Son fallos más sutiles, a menudo apoyados en detalles de implementación y comportamientos límite, pero que en la práctica rompen el modelo de privacidad que Apple presenta en sus presentaciones. Aun así, la nueva tabla fija una recompensa de tan solo 1.000 dólares para este tipo de problemas. Para un investigador que ha dedicado semanas a entender demonios del sistema, APIs poco documentadas y mecanismos internos de macOS, esa cifra se siente más como una propina que como una remuneración seria.
Todo esto ocurre, además, en un contexto muy diferente al de la época en la que el Mac se veía como un objetivo exótico para los atacantes. Hoy existe un ecosistema de amenazas en macOS cada vez más sofisticado: adware persistente, ladrones de credenciales, herramientas de espionaje a medida, campañas dirigidas a empresas con parques de Mac en sus oficinas… Cuanto más se extiende el Mac entre desarrolladores, creadores de contenido y profesionales, más interesante se vuelve la plataforma para grupos criminales y actores avanzados. En ese escenario, reducir los incentivos económicos para los investigadores que encuentran las grietas más peligrosas parece, como mínimo, una apuesta arriesgada.
Lo paradójico es que Apple, al mismo tiempo, no ha dejado de invertir en nuevas capas defensivas. El llamado Lockdown Mode, pensado para usuarios con un perfil de riesgo muy alto, reduce de forma radical la superficie de ataque bloqueando adjuntos, desactivando previsualizaciones de enlaces y restringiendo ciertas tecnologías web. Safari ha ido adoptando una arquitectura más segmentada para aislar mejor el contenido de las páginas. Y a nivel de hardware, funciones como Memory Integrity Enforcement en chips de la familia A19 buscan convertir las clásicas vulnerabilidades de corrupción de memoria en un objetivo mucho más difícil de explotar. Todo eso suena muy bien sobre el papel, pero su eficacia real depende de que haya suficientes ojos técnicos intentando romper esos mecanismos y reportando dónde fallan.
Desde la comunidad de seguridad, la crítica es clara: al devaluar económicamente las vulnerabilidades de macOS, Apple está empujando a algunos investigadores fuera del canal oficial. Un bypass complejo de TCC o un buen escape de sandbox puede valer bastante más que 5.000 dólares si se ofrece a clientes privados o intermediarios poco transparentes. Para profesionales independientes –especialmente en países donde los bug bounties son una parte importante de sus ingresos–, la decisión no es solo ética, sino económica. Si la diferencia entre reportar a Apple o vender en otro sitio se mide en varios múltiplos de dinero, la balanza deja de inclinarse del lado de la responsible disclosure.
De momento, la compañía no ha ofrecido una explicación pública detallada sobre el cambio de niveles. Se puede especular: quizás Apple considere que macOS ha madurado lo suficiente como para que las vulnerabilidades realmente críticas sean menos frecuentes y, por tanto, no necesiten recompensas tan altas. O tal vez busquen homogeneizar las cifras entre macOS y iOS. Pero visto desde fuera, el movimiento se parece mucho a un ejercicio de recorte de costes, justo cuando otros gigantes tecnológicos están elevando sus propios topes y compitiendo por atraer talento en seguridad.
Para la persona que simplemente usa su Mac para trabajar, estudiar o crear, nada de esto significa que su equipo vaya a volverse inseguro de la noche a la mañana. Los mecanismos de protección siguen ahí y la mayoría de las capas defensivas continúan cumpliendo su función. Sin embargo, los programas de bug bounty son una inversión silenciosa en el futuro de la plataforma: determinan cuánta gente cualificada se anima a buscar los problemas realmente feos y a quién decide contárselos cuando los encuentra. La cuestión de fondo no es si “Apple odia al Mac”, sino hasta qué punto está dispuesta a pagar de forma justa a quienes sostienen, con trabajo invisible, la narrativa de que macOS es uno de los sistemas más seguros del mercado.