Hay todo un mercado dinámico y clandestino de herramientas para hackearte, pero una empresa está haciendo sus ofertas abiertamente.
El año pasado, Zerodium ofreció públicamente un millón de dólares por una nueva técnica poderosa de hackeo que pudiera penetrar a distancia a un iPhone que funcione con el sistema operativo más reciente de Apple. En noviembre de 2015, la empresa dio a conocer al ganador: un equipo no identificado de hackers.
Zerodium ofrece abiertamente hasta 100.000 dólares por hackeara Android y a Windows Phone. Paga 80.000 dólares por hackeos al lector de PDF de Adobe o a Flash Player.
De cierta forma, Zerodium es un traficante de armas cibernéticas. Les paga a los hackers para luego aprender sus tácticas, reunirlas en un paquete y venderlas a una élite de suscriptores.
Por 500.000 dólares al año o más, los gobiernos pueden comprar una guía para hackear teléfonos Android con el fin de espiar a la gente. Las empresas pueden aprender a usar una táctica dehackeo especial antes de que la usen contra sus propias computadoras con Windows… o usarlas discretamente para espiar a otras empresas.
Los gobiernos incluso pueden pagar a Zerodium una prima por los derechos exclusivos sobre un método de hackeo, aunque la empresa señala que son pocos los que lo hacen.
Lo que Zerodium hace suscita mucha controversia porque vende «días cero», el arma más codiciada del mundo cibernético. Se trata de hackeos inusuales y poderosos que aprovechan puntos débiles nunca antes vistos. Toman su nombre de la idea de que las empresas de tecnología tuvieron «cero días» para corregirlos.
«Esto es un arma», dijo Zuk Avraham, fundador de Zimperium, una empresa de seguridad cibernética. «Se necesita un hombre que desarrolle uno de estos trucos… un hombre que esté dispuesto a venderle el alma al diablo».
Los expertos dijeron a CNNMoney que la venta de días cero en el mercado abierto puede provocar que sea menos seguro usar el internet y los dispositivos.
«Esto no es bueno para la seguridad del público en general», dijo Patrick Wardle, director de investigaciones de la empresa de seguridad cibernética, Synack, y uno de los mejores hackers de sistemas de Apple.
Sin embargo, Zerodium tiene una perspectiva diferente. Cahouki Bekrar, su director ejecutivo, explicó en un correo electrónico que su misión es ayudar a las corporaciones policiacas a investigar con mejores herramientas.
«Lo que ocurrió recientemente entre el FBI y Apple nos muestra el aspecto más interesante del negocio de los días cero, que es lo que las dependencias gubernamentales necesitan para tener acceso a errores no resueltos con el fin de investigar adecuadamente y salvar vidas», escribió.
Bekrar dijo que la alternativa es mucho peor: que los gobiernos demanden a las empresas para obtener acceso total y legal a cualquier dispositivo a través de una «puerta trasera«. Eso era lo que el FBI pedía hasta que a final de cuentas logró encontrar una forma de hackear el iPhone del pistolero del incidente de San Bernardino.
El director ejecutivo de Zerodium dice que la empresa elige cuidadosamente con quién hacer negocios y acepta dinero solo de «grandes empresas y organizaciones gubernamentales de países de Occidente».
Un modelo de negocios agresivo
Hay una forma diferente (y más benévola) de lidiar con esta clase de errores computacionales peligrosos. Las empresas de tecnología inteligente ofrecen «recompensas por errores», que suelen ser premios en efectivo que
se otorgan a los investigadores que detectan puntos débiles riesgosos.
Google usa un programa de recompensas por errores para que sus teléfonos Android sean más seguros y Facebook ha pagado 40,000 dólares por la detección de un error. Otras empresas adoptan posturas más creativas. Uber tiene un nuevo programa de lealtad para recompensar a los hackers, mientras que United Airlines dio un millón de millas de viajero frecuente a dos hackers.
Estas recompensas por detectar errores sirven para que los dispositivos de todos sean más seguros. El modelo de negocios de Zerodium solo protege a sus clientes.
«Los hackers podrían ser más capaces de crear armas que pueden poner en riesgo a los usuarios que para revelárnoslas», dijo Denelle Dixon-Thayer, directora jurídica de Mozilla, el desarrollador de Firefox, un buscador de internet.
Mozilla, una empresa no lucrativa, señaló que ha dado recompensas a investigadores que han detectado 260 errores en los pasados dos años y ha pagado 3.000 dólares en promedio. Pero hay que compararlo con Zerodium, que anuncia abiertamente que pagará hasta 30,000 dólares por una técnica para hackear a Firefox.
Dixon-Thayer dijo que ahora las empresas de tecnología de todo el mundo están bajo la presión de elevar sus propias recompensas por errores… por lo que la seguridad computacional será aún más costosa.
Eso podría no ser un problema para las grandes empresas de tecnología como Apple y Google, pero es un gran problema para los proyectos de código abierto más populares de internet, mismos que funcionan con donaciones y cuya dirección corre a cargo de voluntarios (Bekrar dijo que ni Apple ni Google eran clientes suyos).
Por ejemplo: Open SSL se encarga de la seguridad de una cantidad increíble de comunicaciones en línea tales como operaciones bancarias, correos electrónicos y redes sociales, pero su presupuesto es muy limitado. El último indicio de apoyo del gobierno federal de Estados Unidos llegó en la forma de una renovación de un contrato por 20.000 dólares con el Departamento de Defensa de ese país en 2014.
Por otro lado, Zerodium está dispuesto a pagar hasta 40.000 dólares por encontrar una falla en OpenSSL, una como Heartbleed, una terrible amenaza para las empresas y los gobiernos de todo el mundo.
«Es un campo de juego desigual», dijo Casey Ellis, directora ejecutiva de Bugcrowd, una empresa que opera uno de los principales programas de recompensas por detección de errores. «La gente tiene más incentivos para ganar dinero al desarrollar una forma de explotar un error con fines ofensivos que para desarrollar más defensas».
La situación es desigual desde su origen.
«Los precios de las técnicas ofensivas son muy altos porque hay que pagar por el silencio y la idea es extender el uso de la técnica por el mayor tiempo posible», dijo Katie Moussouris, experta en detección de errores que acaba de fundar su propia consultora, Luta Security, a través de la que ayuda a las empresas y a los gobiernos a colaborar con los hackers para mejorar sus defensas.
Además, Zerodium no es la única empresa que vende días cero al mejor postor. Los expertos que están muy atentos al mercado de días cero dicen que también participan los contratistas del gobierno, tales como Lockheed Martin, una empresa fabricante de armamento, los consultores de la RAND Corporation y la Harris Corporation, una empresa de Florida que desarrolla una herramienta policiaca de rastreo de teléfonos llamada Stingray.
Exodus Intelligence, una empresa de Austin, Texas, reconoce abiertamente que ha mantenido ciertos hackeos en secreto con el fin de que sus clientes «puedan usar los días cero por todo el tiempo necesario antes de que el error se corrija».
Algunas empresas hacen cosas cuestionables. Apenas el año pasado, descubrieron que la empresa italiana Hacking Team vendía herramientas para espiar a los gobiernos malévolos. Esta situación se ha tornado una total competencia.
DesdeLaPlaza/CNN/MC