La empresa de seguridad informática Vupen
Security se autodenomina "proveedor líder de capacidades cibernéticas
defensivas y ofensivas, vulnerabilidades de días cero e investigación
avanzada”. Sus clientes son las agencias estatales de seguridad.
Vupen
Security nunca ha ocultado que el comercio de vulnerabilidades críticas en
software es una parte sustancial y rentable en su modelo de negocios. Por el
contrario, comenta abiertamente la información en su sitio web, donde recalca
distinguirse de sus competidores, “que básicamente actúan como intermediarios,
que compran vulnerabilidades detectadas por investigadores, para luego
venderlas a sus clientes”. En el caso de Vupen, todos sus resultados provienen
exclusivamente de esfuerzos de investigación internos, se indica en el sitio,
agregando que aparte de detectar vulnerabilidades, la empresa ofrece soluciones
de intrusión de grado gubernamental. La agencia de seguridad estadounidense,
NSA, figuraría entre sus clientes.
La
semana pasada, Vupen anunció que en febrero de 2011 había detectado una
vulnerabilidad de día cero en el navegador de Microsoft, Internet Explorer. El
agujero, de rango crítico, afectaba las versiones 7, 8, 9, 10 y 11 del
navegador, y hacía posible para un atacante eludir el modelo sandbox, pudiendo
así ejecutar código aleatorio, haciéndose del control del sistema intervenido.
La
motivación principal de Vupen no es fomentar la seguridad general en Internet,
sino vender sus productos donde resulte más rentable. Por tal razón, la propia
Microsoft se enteró de la vulnerabilidad 3 años después que Vupen la hubo
detectado. Según Forbes, los clientes que Vupen pagan hasta USD 100.000 al año
para acceder a los servicios de la empresa. Este pago únicamente proporciona
acceso al catálogo de productos. Aparte de ello, los clientes -en su mayoría
agencias de gobierno- deben pagar un precio unitario por producto.
En
junio, Microsoft solucionó finalmente el agujero crítico de Internet Explorer,
que durante 3 años estuvo disponible para los clientes de Vupen.
Fuente:
Diarioti.com