Nuevo actor en el mercado de día cero ofrece cifras récord por hackear smartphones
La startup Security Solutions o ASS, con sede en los Emiratos Árabes Unidos, ha irrumpido en el creciente mercado de vulnerabilidades, ofreciendo recompensas hasta de 20 millones de dólares por herramientas de explotación, capaces de permitir a gobiernos y regímenes acceder a cualquier smartphone mediante un simple mensaje de texto o SMS.
Esta empresa, la cual ha sido lanzada este mismo mes, se está posicionando entre los actores que ofrecen las cifras más altas al menos de forma pública, dentro del mercado de amenazas de día cero. Para refrescar la memoria, la vulnerabilidad de día cero es desconocida por el fabricante de software al momento de su descubrimiento, por lo que dicha vulnerabilidad es muy valiosa tanto para hackers maliciosos como para agencias de inteligencia y seguridad gubernamentales.
Además, el programa de recompensas de ASS establece algunos pagos según la plataforma objetivo. Por ejemplo, 20 millones de dólares por cualquier sistema operativo móvil, 15 millones para vulnerabilidades de día cero en dispositivos Android e iOS.
Igualmente, ofrece 10 millones de dólares para Windows, 5 millones de dólares para Chrome, 1 millón para Safari de Apple y Edge de Micrososft. De igual manera, incluye hasta 2 millones de exploits en aplicaciones de mensajería como Telegram, WhatsApp o Signal.
A pesar de la magnitud de estas cifras, la organización tiene signos de opacidad, debido a que no ha revelado quién la financia, quiénes son sus clientes ni cuáles son sus límites éticos o legales, esto con respecto a los gobiernos con los que negocia.
En su propia página web, la empresa asegura que coopera con más de 25 gobiernos y agencias de inteligencia a nivel mundial, ofreciendo capacidades en operaciones de alto riesgo, como contraterrorismo o la lucha contra el narcotráfico.
Del mismo modo, esta compañía presume de contar únicamente con personal con más de 20 años de experiencia en unidades de inteligencia de élite y empresas militares privadas.
La cibervigilancia y el ciberespionaje son preocupaciones que las empresas deben tener en cuenta para no sufrir intrusiones no autorizadas. Por ello, TIC Defense cuenta con un conjunto de productos, soluciones, herramientas y servicios que permiten proteger toda la infraestructura informática de la organización.
Investigadores especializados en el mercado de vulnerabilidades de día cero, han señalado que los precios de esta empresa están en concordancia con las tendencias actuales. No obstante, han advertido que la recompensa de 20 millones puede considerarse baja dependiendo de lo poco escrupuloso que sea el vendedor.
Los expertos han remarcado también que, a título personal de cada uno, evitarían negociar con una organización que oculta su identidad corporativa. Por ello, no deberían vender vulnerabilidades a alguien que no dice quién es realmente, terminaron por afirmar.
Este tipo de recompensas reflejan cómo el mercado de vulnerabilidades ha evolucionado en la última década, incrementando tanto el número de intermediarios como los montos ofrecidos. En el año 2015, otra organización, llamada Zerodium, ha sido pionera en hacer públicas sus tarifas, llegando a pagar un millón de dólares por un exploit de iPhone.
En los últimos años, los precios se han disparado debido a, al menos, dos factores clave: la creciente demanda por parte de los gobiernos y la dificultad técnica de vulnerar dispositivos modernos cada vez más seguros. El año pasado, la empresa Crowdfense llegó a ofrecer hasta 7 millones de dólares por un exploit de iPhone y 5 millones por Android.
