27 mar. 2012

El inmenso negocio de la venta de exploits

No es nada nuevo hablar del mercado existente en torno a la búsqueda de tipos de vulnerabilidad en software o sistemas operativos. Existe todo un mercado en la compra y venta de exploits con el que los hackers pueden llegar a obtener grandes cifras de dinero. Sin ir más lejos hace unas semanas se celebró la Pwn2Own donde Chrome fue después de varios años el primer navegador en encontrársele vulnerabilidad. Este negocio que tiene a hackers y compañías como principales beneficiarios tiene desde hace varios meses a un nuevo “cliente”. El propio gobierno de Estados Unidos llegó a pagar 250.000 dólares por un exploit en iOS.

Tradicionalmente los hackers suelen informar al desarrollador original de un software acerca de la vulnerabilidad encontrada, bien directamente o a través de pruebas realizadas en conferencias de seguridad o competiciones como la Pwn2Own donde hay recompensa por el logro.

La bomba explotó hace unos días cuando Vupen ofreció vender el exploit de Chrome a Google. Según cuentan desde Forbes, los hackers están vendiendo la vulnerabilidad encontrada a las agencias gubernamentales a través de intermediarios que cobran por comisión a través de la oferta. Las organizaciones no informan al público sobre el importe que pagan ni lo conseguido ya que la vulnerabilidad se puede utilizar para acceder a otros equipos.

La tabla de precios que mostramos es un ejemplo de ello. De acuerdo a los intermediarios consultados, la vulnerabilidad en materia de seguridad en el sistema operativo móvil de Apple es más rara que se dé debido a sus fuertes medidas, por ejemplo en a las de Android.

Como podemos ver en la tabla, seguido de iOS se encontraría Chrome o IE, Firefox o Safari, Microsoft Word, Flash o Java, Android, Mac OSX y Adobe Reader.

Finalmente se habla de los métodos de pago. El precio sube si el “hack” es exclusivo, trabaja en la versión más reciente o si es desconocido para el desarrollador. También aumenta el precio si el exploit encontrado es de un software popular. En cuanto a los métodos de pago, se suele hacer en cuotas que siguen llegando siempre y cuando el hack no se haya parcheado por el desarrollador original del software.

Fuente: Alt1040, ZDNet y Forbes

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!