Cyber

El negocio de las cíber-armas.

Normalmente las empresas siguen una política de recompensas cuando se trata de problemas de seguridad. Pero, hay otras formas y organizaciones que persiguen conocer las vulnerabilidades para crear un atractivo paquete que vender a sus clientes.

Normalmente las empresas siguen una política de recompensas cuando se trata de problemas de seguridad. Google usa un programa de recompensas por errores para que sus teléfonos Android sean más seguros, Facebook ha pagado 40.000 dólares por la detección de un error, mientras que United Airlines dio un millón de millas de viaje a dos hackers. Estas recompensas por detectar errores sirven para que los dispositivos de todos sean más seguros.

Pero, hay otra forma de monetizar estos descubrimientos, contactar con “agentes” como el ciudadano sudafricano afincado en Bangkok que se hace llamar “The Grugq” y contratar sus servicios como bróker de 0-days.

Él se encargará de encontrar un gobierno, agencia de inteligencia u organización del crimen organizado que te lo compre sin hacer demasiadas preguntas y pudiendo llegar a pagar por la exclusiva hasta 250.000 dólares. Ese cíber-conseguidor se llevaría un 15% de comisión.

Este negocio, que al igual que el de las armas físicas suele ser bastante clandestino, tiene una empresa que se dedica a hacer este tipo de ofertas de forma abierta y sin “pudor”.

iosEl año pasado  la empresa en cuestión, Zerodium, ofreció públicamente un millón de dólares por una nueva técnica de hackeo gracias a la cual se pudiese acceder a distancia a un iPhone y que funcione con el sistema operativo más reciente de Apple. En noviembre de 2015, muchos meses antes de que el FBI lo lograse, la empresa dio a conocer al ganador: un equipo no identificado de hackers.

Pero aquí no acaban las ofertas y ofrece abiertamente hasta 100.000 dólares por hackear a Android y a Windows Phone. Paga 80.000 dólares por Adobe Reader o Flash Player.

De cierta forma, Zerodium es un traficante de ciberarmas. Les paga a los hackers para aprender sus tácticas y crear un atractivo paquete para vendérselo a sus clientes.

Por 500.000 dólares al año o más, los gobiernos pueden comprar una guía para hackear teléfonos Android con el fin de espiar a la gente. Las empresas pueden aprender vulnerar sus propios sistemas antes de que sus ordenadores con Windows sea atacados… o usarlas discretamente para espiar a otras empresas. Inclusive, al contratarlo se puede pagar una prima por la obtención de los derechos exclusivos sobre el método para que nadie más lo use.

Cómo puedes imaginar, no vende las vulnerabilidades básicas tales como acceder a los iPhones a través de Siri, lo que vende son los conocidos como 0-day (días cero), el arma más codiciada del cibermundo.

Se trata del tipo de vulnerabilidad más poderosa de todas ya que se aprovecha de puntos débiles que nunca antes se habían visto y, por tanto, se desconocen. Toda su nombre de la idea de que la empresa ha tenido “cero días” para corregirlo.

Esto, al igual que pasa en el mundo físico, es una carrera armamentística.

Hace unos años decidí juntar todas mis pasiones en un blog y desde entonces escribo sobre ello. Editor de Derecho de la Red.

Deja un comentario