Archivo de la etiqueta: zero day attack

Un negocio muy lucrativo

Desde un principio, hemos asociado el término hacker (pirata informático) a ese experto informático que, esperando cualquier error por nuestra parte, esperaba pacientemente para colarse en nuestro ordenador y hacerse con información confidencial, fotografías, etc.

Más tarde, se les asoció con la creación de virus informáticos, robos de información a grandes empresas o vulneración de sus sistemas informáticos. En muchas ocasiones, sus acciones buscaban la mera autocomplacencia y, en otros, la única finalidad era el dinero obtenido mediante extorsión, chantaje…

Desde hace años, esos expertos informáticos han encontrado un negocio más lucrativo: encontrar errores en el software desarrollado por compañías informáticas para venderlo al mejor postor (incluidos gobiernos).

Reino Unido, Rusia, Israel, Brasil o India son los países que más cantidades destinan a hacerse con los llamados “zero day“: errores en el código de programas informáticos que permitan a quien lo encuentra/explota acceder al ordenador o sistemas informáticos de cualquier negocio o agencia que lo use.

Frente a esos posibles compradores se alinean las compañías que desarrollan software (ej. Google, Facebook, Microsoft) que, a través de un programa de incentivos económicos, buscan que el hacker que encuentre un error en el código de sus programas se lo venda a ellos dado que, de ser explotado por alguien (léase gobierno, agencia o particular), la impresión que el público en general tiene de sus productos podría descender considerablemente con el consiguiente perjuicio económico.

Hacker 4

¿Cuánto puede costar un “zero day”?

Por poner un ejemplo, Microsoft paga un tope de $150.000 por cada error grave detectado en alguno de los programas que desarrolla. Facebook ha llegado a pagar $20.000 por un único error (misma cantidad que Google paga por cada error encontrado en su software) y, hasta el momento, la red social ya ha pagado un total de  un millón de dólares (incluyendo $2.500 a un chaval de 13 años) por dichos conceptos.

En la actualidad, el negocio crece vertiginosamente dadas la ventaja que, para gobiernos y agencias, supone poseer un “zero day” no descubierto. Buen ejemplo de ello fue Stuxnet, un programa informático desarrollado por EEUU e Israel que, en 2010, se introdujo en el sistema informático iraní, aprovechando errores del mismo, y consiguió ralentizar su programa de enriquecimiento de uranio.

En la actualidad, ya existen compañías creadas por grupos de hackers con el único objetivo de encontrar y vender estos errores en el código dado lo lucrativo del negocio. Éste llega a tal nivel, que entre la propia comunidad hacker se desdeña a aquellos que, como se hacía en otros tiempos, ofrecen esa información gratuitamente a las compañías que desarrollan software.

(Pablo)