La piratería informática cada vez es un negocio mayor.
A diario se mueven miles de euros de dinero negro mediante la compra de
diferentes elementos generalmente relacionados con ataques informáticos como
bases de datos, herramientas de spam, exploits y zero-day.
¿Qué son estos fallos? Se
denomina como vulnerabilidad de día cero o zero-day a todas aquellas que son
descubiertas en el mismo momento que comienzan a ser explotadas. A partir del
día cero comienza una carrera entre los desarrolladores en lanzar un parche y
los piratas informáticos en explotar el mayor número de sistemas con dicha
vulnerabilidad.
Las primeras horas de una vulnerabilidad zero-day son
críticas para los usuarios y para el prestigio de una marca. Un gran número de
víctimas por parte de los piratas informáticos no sólo generará grandes
ingresos a estos piratas sino que puede llegar a generar pérdidas en la empresa
de software víctima de dicha vulnerabilidad.
¿Os imagináis que fallos como Heartbleed o Shellshock
hubieran sido vendidos en el mercado negro en vez de hacerse públicos? Los
daños podrían haber sido catastróficos ya que estas dos vulnerabilidades sin duda
han sido dos de las peores de la historia de Internet y de la informática en
general.
Al igual que el mercado negro mueve millones de dólares
en los elementos anteriores también es posible obtener dinero de forma legal
facilitando la información de los fallos y los exploits a las compañías. Varios
programas de recompensas llamados “Bug Bounty” ofrecen a los usuarios una
cantidad de dinero a cambio de los exploits y la información sobre las
vulnerabilidades de día cero de manera que se puedan parchear antes de hacerlos
públicos de manera que el riesgo de ser víctima de estos fallos es mucho menor
que si se vende dicha información en el mercado negro al mejor postor.
Muchos investigadores de software han comenzado a
trabajar como auditores en busca de todo tipo de vulnerabilidades zero-day.
Estas empresas generalmente suelen vender estos fallos a las desarrolladoras
para permitirlas crear un parche que las solucione antes de que otros usuarios
las detecten, sin embargo, debemos tener en cuenta que este tipo de empresas
trabajan de forma similar a las extorsiones ya que si una desarrolladora no
paga el precio que ellos quieran por la vulnerabilidad pueden buscar un mejor
postor en el mercado negro con quien compensar económicamente su trabajo.
El negocio de las vulnerabilidades de día cero está en
auge y cada vez es mayor tanto la cantidad de dinero que estos fallos mueven en
el mercado legal como los piratas informáticos que se aprovechan de estos
fallos.
Fuente: Emsisoft