La empresa Zerodium podría pagar hasta dos millones de dólares por un zero-day de Apple ¿es esta práctica ética?

Zerodium es una empresa de seguridad que se dedica a comprar y vender exploits (ojo a esto, a venderlos también, abriendo muchos interrogantes en este negocio) ofreciendo buenas recompensas (también llamadas “bug bounty“) por todo tipo de zero-days. Este pasado lunes han anunciado un aumento en el precio de estas recompensas por encontrar vulnerabilidades en los entornos Apple que podría llegar hasta los 2 millones de dólares. Cuanto menos interacción requiera el exploit, más alta será la recompensa final. 

Eso sí, no será sencillo de conseguir. De hecho para poder optar a la recompensa de 2 millones de dólares, habría que encontrar una forma de realizar un jailbreak iOS remoto y que además no fuera necesario realizar ningún click (lo llaman “zero click“) en el equipo afectado para ejecutarlo. Siempre podemos intentar ir a por la segunda recompensa, la cual ofrece esta vez la mitad, 1 millón de dólares. Esta vez será necesario encontrar un exploit zero-day capaz de conseguir una RCE (ejecución remota de código) en aplicaciones de chat como WhatsApp, iMessage, etc.

Figura 1. Tabla de precios de Zerodium actualizada en 2019. Fuente.

A pesar de pagar varias veces más que los mismos fabricantes por estas vulnerabilidades, el negocio parece realmente rentable para Zerodium. Algunos subscriptores de su servicio han llegado a pagar hasta 200.000$ por tener acceso a su base de datos de exploits. Y es aquí donde entramos en un terreno pantanoso. Antes hemos comentado que Zerodiom no sólo compra, sino que también vende exploits, pero ¿a quién?. Principalmente los clientes son empresas gubernamentales y esto hace pensar que posiblemente muchos de estos exploits se utilicen para prácticas digamos un poco “oscuras” como espionaje, entre otras.

En definitiva, el problema es que cualquiera que tenga dinero suficiente, podría comprar uno de estos exploits y utilizarlo para cualquier fin ilícito como acceder a un sistema o incluso interrumpir su funcionamiento, entre otros muchos, aunque la empresa se publicita diciendo que sus clientes son lícitos y estos exploits sirven para proteger los sistemas. Pero en aquellos casos realmente críticos, donde de verdad se ponga en peligro la integridad de los sistemas o la privacidad de los usuarios con un zero-day ¿no sería más ético y moral contactar siempre con el fabricante para que lo arreglara lo antes posible y así proteger a los usuarios?. Seguro que volveremos a tratar este tema más adelante.