¿Eres hacker? Las vulnerabilidades de iOS y Android se cotizan a millones de dólares
En el mercado de los móviles hay muchos más precios a tener en cuenta que el de los terminales en los escaparates (físicos o virtuales). En ocasiones recurrimos al precio por acción de las compañías, indicativo en cierto modo de cómo van las cosas para la misma, pero hay una cotización que también varía cada año: ¿a cuánto se paga la información sobre las brechas de seguridad de los sistemas operativos?
Los software cada vez son más completos y cuidan más la seguridad, pero aún así y como hemos visto siempre queda algún agujero por el que algún ávido hacker puede colarse y acceder al sistema. De hecho, muchas veces son expertos ajenos a los desarrolladores del sistema los que localizan los fallos y lo hacen saber, como ocurre con Security Default y WhatsApp. ¿Quién paga por esto? Empresas como Zerodium, y no paga poco.
Mayor nivel de seguridad, mayor recompensa
Por desgracia las noticias de que hay cierto “agujero” en la seguridad de los sistemas operativos son actualidad con relativa frecuencia, aunque por suerte normalmente los desarrolladores lanzan actualizaciones de manera pronta tras la detección (de algo que no debería haber salido en la versión definitiva del sistema, por cierto). De este modo, cada versión del sistema es habitualmente más segura que la anterior, de ahí que se recomiende tener el teléfono al día y el hecho de que sea uno de los inconvenientes de la famosa fragmentación en Android.
Como en las recompensas de las series o películas para criminales, aquí la dificultad es la base del precio: si es difícil encontrar la vulnerabilidad, éste se multiplica
Esto también influye en la cotización de las vulnerabilidades del sistema o, como suelen llamarse, exploits**.** Como en las recompensas de las series o películas para criminales, aquí la dificultad es la base del precio: si es difícil encontrarlas, se multiplica. De hecho eso leemos en la web de Zerodium, que ayer actualizó la oferta, exactamente por el doble y triple que la anterior (en Android y iOS respectivamente).
Concretamente ofrecen 1,5 millones de dólares por vulnerabilidades comprobadas en iOS y 200.000 dólares en el caso de Android. También hay tarifas para exploits en Adobe Flash Player, que en este caso se han rebajado de 80 a 50.000 dólares. Chaouki Berkar, fundador de Zerodium, explicaba de qué dependía la variación de precio, y lo recoge Ars Technica.
Los precios están directamente relacionados con la dificultad que implica crear una cadena de vulnerabilidades, y sabemos que esto es mucho más difícil en iOS 10 y Android 7 que en sus versiones previas.
También explicaba por qué esa diferencia de pago según una plataforma u otra. Cuenta Berkar que el hecho de que una cadena de vilnerabilidades cotice en orden de unas 7,5 veces más que una de Android se debe a que la dificultad es 7,5 veces mayor en iOS o que lo es la demanda, siendo una mezcla de ambas valoraciones.
Pero, ¿qué perfil de cliente tiene una empresa así?
Hace unos meses supimos de un negocio que no era exactamente igual, pero que también se trataba de un intercambio de información sensible y que podría ser incluso un arma en malas manos. Shadow Brothers dijo tener la información de la NSA, la cual puso en subasta por un millón de bitcoins, aunque ya vimos que las pujas no mostraban tal interés.
Los clientes de Zerodium son los gobiernos y sus agencias
En este caso se trata de una información que per se es un arma, y bien podría interesar a los hackers dado que se trata de accesos a los entresijos del sistema, pero en el caso de Zerodium éstos su cliente, al menos de los bien intencionados. El perfil de compradores es todo lo contrario, es decir, los gobiernos y sus agencias, quienes usan esta información para vigilar y espiar a los criminales y terroristas que operan por estas vías.
El negocio lo hacen en parte también porqueofrecen mejores precios que las propias compañías propietarias del software. Apple ofrece 250.000 dólares y Google 38.000, cifras que como vemos están bastante por debajo de lo que ofrecen en Zerodium, si bien el nivel de exigencia de estos exploits también varía, siendo mayor en el caso de la empresa de compraventa.
De hecho, es algo que en la Deep Web es bastante más habitual que en la red abierta, y en ésta tampoco es Zerodium la única empresa que se dedica a la compraventa de vulnerabilidades ni mucho menos. Hay otras como "Mitnick’s Absolute Zero-Day" o "Exodus Intelligence" que también ofrecen servicios relacionados en abierto.
Y como leemos para el caso de Zerodium, el año pasado dió hasta 3 millones de dólarespor hacerse con la información sobre las vulnerabilidades. No dan cifras sobre su recaudación, pero no debió ser poca cuando este año ofrecen hasta tres veces lo que el anterior. A la rica vulnerabilidad, pues.
Imagen e información | Zerodium]