De sobra sabemos que la NSA y el gobierno de Estados Unidos compra y utiliza exploits de día cero para conseguir acceder a los datos de los usuarios a los que espían. Otras organizaciones gubernamentales como el ejército también están interesadas en aprovechar vulnerabilidades zero-day para conseguir información y poder estudiar mejor a sus enemigos, sin embargo, ni el gobierno ni la NSA comparten este tipo de software con otras organizaciones de manera que cada uno debe buscar por sí mismo la mejor forma de estudiar a sus enemigos.
Según podemos leer en ThreatPost, la armada de Estados Unidos también está interesada en la explotación de vulnerabilidades zero-day y por ello publicó una oferta de trabajo (actualmente retirada) en la que se buscaba a un contratista que desarrollara este tipo de software y que fuera capaz de integrarlos en los sistemas de explotación más habituales.
En la oferta de trabajo se indicaba que el proveedor de exploits debería facilitar al gobierno una lista de vulnerabilidades 0-day (o con un máximo de 6 meses de antigüedad). Con esta lista el gobierno indicará los exploits, en formato binario, que se deben desarrollar. Durante el plazo de un año el contratista debe facilitar un total de 10 informes de vulnerabilidades y facilitar nuevos exploits como máximo cada 2 meses.
Entre otros, los principales objetivos para los que se quiere desarrollar exploits de día cero son Microsoft, Adobe, Java, EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT y Linux.
Tanto el ejército como la armada y la marina ya no sólo se centran en conseguir las mejores armas, las más modernas y las más potentes, sino que cada vez utilizan más técnicas ofensivas digitales para poder recopilar la mayor cantidad de información posible sobre sus enemigos de la forma más discreta.
El uso de exploits siempre ha sido duramente criticado. La NSA pretende vigilar y proteger las redes americanas de posibles ataques, sin embargo sus espionajes van más allá y recopilan información de todo el mundo «como precaución». También es complicado saber qué va a pasar una vez se cree un exploit ya que millones de usuarios de todo el mundo quedarán expuestos, las principales desarrolladoras no tendrán información del mismo y, quien sabe, igual el exploit (o la información para desarrollarlo) termina filtrado en la Deep Web y en manos de un pirata informáticos que también lo utilice para su propio beneficio.
¿Qué opinas de que el gobierno y los organismos gubernamentales utilicen exploits privados para «vigilar»? ¿Crees que en España alguna vez se podría llegar a utilizar este tipo de software para vigilar el uso de la red?
Quizá te interese: