Forbes ha realizado una investigación (en inglés) sobre el mundo de la compra y venta de exploits por Internet. Según lo que descubrió, este es un negocio millonario y muy competitivo, en el que las grandes organizaciones, incluyendo las organizaciones gubernamentales, luchan en secreto por obtener acceso exclusivo a las vulnerabilidades en programas y sistemas operativos antes de que sus desarrolladores descubran los problemas y los solucionen.
La compra y venta de exploits por Internet es un negocio legítimo, pero secreto. Se lleva a cabo con la ayuda de mediadores, como el sudafricano “Grugq”, que reciben los exploits que les venden los hackers y los subastan entre sus clientes. Grugq cobra una comisión del 15% por su trabajo, y asegura que piensa ganar un millón de dólares este año.
Los precios de los exploits varían según cuán expandido esté el programa o sistema operativo afectado y lo complicado que sea encontrar las vulnerabilidades para esos productos. Por ejemplo, un exploit para una vulnerabilidad en Mac OSX cuesta entre 20.000 $ y 50.000 $, pero los compradores están dispuestos a pagar el triple por uno en Windows, que es el sistema operativo más popular.
Uno de los últimos exploits que vendió Grugq fue uno de Mac OSX por el que un agente del gobierno estadounidense pagó 250.000 $. Grugq explicó que el 80% de sus ganancias provienen de compradores en Estados Unidos, y que entre sus clientes asiduos se encuentran personas relacionadas con el gobierno de este país, aunque también trabaja con países europeos cuando es necesario.
Grugq explicó que se concentra en el mercado estadounidense porque es más rentable. “Vender una vulnerabilidad a la mafia rusa garantiza que va a desaparecer en poco tiempo y pagan muy poco dinero”, explicó. También afirma que el mercado chino está saturado de cibercriminales chinos que monopolizan el negocio. “El mercado está en crisis”, dijo. Asimismo, el resto de Asia y el Medio oriente no pueden competir con los precios de Estados Unidos y Europa occidental.
Grugq no cree que el prohibir la compra y venta de exploits pueda ayudar a controlar el cibercrimen. “Eso tendría tanto éxito en eliminar exploits como la guerra antidrogas tuvo en erradicar las drogas”, opinó.
Fuentes:
Shopping For Zero-Days: A Price List For Hackers’ Secret Software Exploits Forbes
US government pays $250,000 for iOS exploit ZDNet
Government agencies pay hackers big money for early access to exploits NDTV
Forbes explora el mundo oculto de la compra y venta de exploits “zero-day”