¿Es ético vender vulnerabilidades y exploits zero-day?

Escrito por Rubén Velasco
Seguridad
1

La piratería informática cada vez es un negocio mayor. A diario se mueven miles de euros de dinero negro mediante la compra de diferentes elementos generalmente relacionados con ataques informáticos como bases de datos, herramientas de spam, exploits, etc.

Uno de los elementos mejor pagados son los fallos zero-day junto a sus correspondientes exploits. ¿Qué son estos fallos? Se denomina como vulnerabilidad de día cero o zero-day a todas aquellas que son descubiertas en el mismo momento que comienzan a ser explotadas. A partir del día cero comienza una carrera entre los desarrolladores en lanzar un parche y los piratas informáticos en explotar el mayor número de sistemas con dicha vulnerabilidad.

Las primeras horas de una vulnerabilidad zero-day son críticas para los usuarios y para el prestigio de una marca. Un gran número de víctimas por parte de los piratas informáticos no sólo generará grandes ingresos a estos piratas sino que puede llegar a generar pérdidas en la empresa de software víctima de dicha vulnerabilidad.

¿Os imagináis que fallos como Heartbleed o Shellshock hubieran sido vendidos en el mercado negro en vez de hacerse públicos? Los daños podrían haber sido catastróficos ya que estas dos vulnerabilidades sin duda han sido dos de las peores de la historia de Internet y de la informática en general.

Ejemplo Microsoft Zero Day Office Suite

Al igual que el mercado negro mueve millones de dólares en los elementos anteriores también es posible obtener dinero de forma legal facilitando la información de los fallos y los exploits a las compañías. Varios programas de recompensas llamados “Bug Bounty” ofrecen a los usuarios una cantidad de dinero a cambio de los exploits y la información sobre las vulnerabilidades de día cero de manera que se puedan parchear antes de hacerlos públicos de manera que el riesgo de ser víctima de estos fallos es mucho menor que si se vende dicha información en el mercado negro al mejor postor.

Muchos investigadores de software han comenzado a trabajar como auditores en busca de todo tipo de vulnerabilidades zero-day. Estas empresas generalmente suelen vender estos fallos a las desarrolladoras para permitirlas crear un parche que las solucione antes de que otros usuarios las detecten, sin embargo, debemos tener en cuenta que este tipo de empresas trabajan de forma similar a las extorsiones ya que si una desarrolladora no paga el precio que ellos quieran por la vulnerabilidad pueden buscar un mejor postor en el mercado negro con quien compensar económicamente su trabajo.

El negocio de las vulnerabilidades de día cero está en auge y cada vez es mayor tanto la cantidad de dinero que estos fallos mueven en el mercado legal como los piratas informáticos que se aprovechan de estos fallos.

¿Crees que es ético vender la información de las vulnerabilidades zero-day en el mercado legal y en el mercado negro?

Fuente: Emsisoft