Varios

Zerodium ofrece 1,5 millones por un Zero Day en iOS

Por desgracia las noticias de que hay cierto «agujero» en la seguridad de los sistemas operativos son actualidad con relativa frecuencia, aunque por suerte normalmente los desarrolladores lanzan actualizaciones de manera pronta tras la detección (de algo que no debería haber salido en la versión definitiva del sistema, por cierto). De este modo, cada versión del sistema es habitualmente más segura que la anterior, de ahí que se recomiende tener el teléfono al día y el hecho de que sea uno de los inconvenientes de la famosa fragmentación en Android.

Como en las recompensas de las series o películas para criminales, aquí la dificultad es la base del precio: si es difícil encontrar la vulnerabilidad, éste se multiplica

Esto también influye en la cotización de las vulnerabilidades del sistema o, como suelen llamarse, exploits, concretamente los exploits Zero-Day. Como en las recompensas de las series o películas para criminales, aquí la dificultad es la base del precio: si es difícil encontrarlas, se multiplica. De hecho eso leemos en la web de Zerodium, que ayer actualizó la oferta, exactamente por el doble y triple que la anterior (en Android y iOS respectivamente).

Concretamente ofrecen 1,5 millones de dólares por vulnerabilidades comprobadas en iOS y 200.000 dólares en el caso de Android. También hay tarifas para exploits en Adobe Flash Player, que en este caso se han rebajado de 80 a 50.000 dólares. Chaouki Berkar, fundador de Zerodium, explicaba de qué dependía la variación de precio, y lo recoge Ars Technica. Al años pasado habían ofrecidos 1 milllón de dólares por exploits para iOS.

Los precios están directamente relacionados con la dificultad que implica crear una cadena de vulnerabilidades, y sabemos que esto es mucho más difícil en iOS 10 y Android 7 que en sus versiones previas.

También explicaba por qué esa diferencia de pago según una plataforma u otra. Cuenta Berkar que el hecho de que una cadena de vulnerabilidades cotice en orden de unas 7,5 veces más que una de Android se debe a que la dificultad es 7,5 veces mayor en iOS o que lo es la demanda, siendo una mezcla de ambas valoraciones.

Hace unos meses supimos de un negocio que no era exactamente igual, pero que también se trataba de un intercambio de información sensible y que podría ser incluso un arma en malas manos. Shadow Brothers dijo tener la información de la NSA, la cual puso en subasta por un millón de bitcoins, aunque ya vimos que las pujas no mostraban tal interés.

En este caso se trata de una información que per se es un arma, y bien podría interesar a los hackers dado que se trata de accesos a los entresijos del sistema, pero en el caso de Zerodium éstos su cliente, al menos de los bien intencionados. El perfil de compradores es todo lo contrario, es decir, los gobiernos y sus agencias, quienes usan esta información para vigilar y espiar a los criminales y terroristas que operan por estas vías.

El negocio lo hacen en parte también porque ofrecen mejores precios que las propias compañías propietarias del software. Apple ofrece 250.000 dólares y Google 38.000, cifras que como vemos están bastante por debajo de lo que ofrecen en Zerodium, si bien el nivel de exigencia de estos exploits también varía, siendo mayor en el caso de la empresa de compraventa.

De hecho, es algo que en la Deep Web es bastante más habitual que en la red abierta, y en ésta tampoco es Zerodium la única empresa que se dedica a la compraventa de vulnerabilidades ni mucho menos. Hay otras como Mitnick’s Absolute Zero-Day o Exodus intelligence que también ofrecen servicios relacionados en abierto.

Y como leemos para el caso de Zerodium, el año pasado dió hasta 3 millones de dólares por hacerse con la información sobre las vulnerabilidades. No dan cifras sobre su recaudación, pero no debió ser poca cuando este año ofrecen hasta tres veces lo que el anterior. A la rica vulnerabilidad, pues.

Fuente: Segu-info.com.ar

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.