Países pagan a hackers por datos sobre fallas

A proposito de lo que esta pasando estos días con el caso Snowden


Este es un articulo que salio el 20 de Julio de 2013 en el Suplemento New York Times del Periódico La Razón. 

Por Nicole Perlroth y David E. Sanger

En la isla del Mediterráneo de Malta, dos hackers italianos bucan virus, pero no los derivados de las muchas especies de insectos de la isla, sino defectos de software por cuyo aprovechamiento hay gobiernos que pagan centenares de miles de dólares.

Los hackers- Luigi Auriemma y Donato Ferrante, de 32 y 28 años, respectivamente- venden detalles de esas vulnerabilidades a paises que quieren acceder a los sistemas de computación de adversarios extranjeros.

Se niegan a revelar los nombres de los clientes de su compañia, ReVuln, pero entre los grandes compradores de servicios como los suyos se cuentan la Agencia de Seguridad Nacional de Estados Unidos - NSA, en inglés- y los Guardias Revolucionarios de Irán.

Desde Sudáfrica hasta Corea del Sur, florece el negocio de lo que los hackers llaman "días cero", los virus en software como Microsoft Windows que pueden dar a un comprador pleno acceso a una computadora, así como a toda empresa, organismo o persona que depende de está. El nombre hace referencia al hecho de que, una vez descubierta, hay "cero días" para que el usuario del sistema de computación solucione la vulnerabilidad antes de que los hackers puedan aprovecharla.

Hace pocos años, hackers como Auriemma y Ferrante habrían vendido la infomación sobre defectos de codificación a compañias como Microsoft y Apple, que los habrían solucionado. El mes pasado, Microsoft dispuso un fuerte aumento de la suma que estaba dispuesta a pagar por esos defectos y elevó el monto máximo a US$150 mil.

Cada vez más, sin embargo, las ofertas de las empresas son superadas por las de países que buscan el tipo de éxito que obtuvieron EEUU, e Israel hace tres veranos, cuando atacaron el programa de enriquecimiento nuclear de Irán con un virus digital, "Stuxnet".

"Los gobiernos empiezan a decirse: "A los efectos de proteger mejor mi país tengo que encontrar vulnerabilidades en otros países"", señalo Howard Shmidt, un ex coordinador de Ciberseguridad de la Casa Blanca. "El problema fundamental es que todos pasamos a estar menos seguros."

Hace diez años, los hackers entregaban gratis la información sobre tales defectos a Microsoft y a Google, a cambio de una remera o una mención de honor en o sitios web de las compañias. Pero el mercado de información sobre virus se ha convertido desde entonces en una fiebre del oro.

Las revelaciones de Edward J. Snowden, el ex consultor de la NSA que filtró docmentación confidencial, demostraron que Estados Unidos se cuenta entre los compradores de defectos de programación.

Israel, Gran Bretaña, Rusia, India y Brasil son algunos de los otros grandes clientes. Corea del Norte participa en el mercado, así como algunos servicios de inteligencia de Medio Oriente. Malasia y Singapur también compran, según el Centro de Estados Unidos Internacionales y Estratégicos de Washington.

Decenas de operadores bien relacionados conectan a vendedores y compradores a cambio de una comisión del 15%. Algunos operadores individuales, como uno de Bangkok que se hace llamar "the GRugq" en Twitter, son bien conocidos. Pero después de que "the Grugq" hablara con Forbes el año pasado, su negocio se vio afectado por la publicidad, según una persona familiarizada con el impacto, sobre todo poque los compradores exigen confidencialidad.

Firmas como Vupen, de Montpellier, Francia; Netragard, de Acton, Massachusetts; Exodus Intelligence, de Austin, Texas; y ReVuin anuncian que venden información sobe los defectos para ciperespionaje y,  en algunos casos, para armas cibernéticas.

Adriel Desautels, el fundador de Netragard, dijo que sus clientes eran "solo de Estados Unidos" y que las dimensiones del "programa de compra y aprovechamiento" de Netragard se habían duplicado en los últimos tres años. El defecto promedio se vende ahora a entre US$35 mil y Us$ 160 mil.

Chaouki Bekrar, el fundador de Vupen, señalo que su empresa no vende a países que "tengan embargos o restricciones de la Unión Europea, Estados Unidos o las Naciones Unidas". Agregó que los ingresos se duplicaban año a año a medida que crecía la demanda. Vupen les cobra a los clientes una suscripción anual de US$ 100 mil por examinar su catálogo, y luego cobra cada venta. Los costos dependen de la sofisticación de la vulnerabilidad y de la permeabilidad del sistema operativo.

ReVuln se especializa en descubrir puntos débiles mínimos en sistemas de control industriales que pueden utilizarse para acceder - o afectar- instalaciones de tratamiento de agua, gasoduos u oleoductos y plantas de energía.

Muchas empresas de tecnología han iniciado programas de "búsqueda de virus" por los cuales les pagan a hackers para que les informen  sobre virus en sus sistemas en lugar de que los hackers se guarden los defectos para sí o, peor aun, los vendan en el mercado negro. Hace casi diez años, la Mozilla Foundation creó uno de los primeros programas de búsqueda y pago de virus en su buscador Firefox. Desde entonces, Google, Facebook y Paypal han seguido sus pasos.

En 2010, Google comenzó a pagar a hackers hasta US$3 millones 133 mil 70-cifra significa "elite" en el código hacker- por virus en su buscador Chrome. El mes pasado, Google aumentó a US$20 mil la recompensa por descubrir  virus en algnos de sus productos de uso masivo. Facebook inició un programa similar en 2011 y ya ha pagado US$1 millón. (Uno de los pagos comprendió US$2 mil 500 a un niño de trece años. La mayor suma que ha pagado por un virus asciende a US$20 mil.)

Microsoft, que durante mucho tiempo se había resistido a esos programas, anunció en Junio que pagaría a los hackers hasta 150.000 dólares por virus si también proporcionaban una forma de defenderse contra éste. Apple aún no cuenta con un programa de ese tipo, pero sus vulnerabilidades se encuentran  entre las más codiciadas. Un virus en el sistema operativo iOS de Apple se vendió en US$500 mil, según dos personas a las que se informó sobre las venta.

Cuando Estados Unidos e Israel utilizaron una serie de defectos -entre ellos uno de un programa de fuentes de Windows- para desencadenar lo que llegó a conocerse como el virus Stuxnet, un arma cibernética sofisticada que se usó para afectar de forma temporaria la capacidad de enriquecimiento de uranio de Irán, no hicieron más que avivar el interés. "Creo que puede decirse que nadie anticipó qué rumbo tomaría esto", dijo unapersona que participó  en la primera estrategía estadounidense e Israelí. "Hoy, nadie sabe con certeza en qué va a terminar".

Los especialistas señalan que existe un incentivo limitado para regular un mercado en el cual los organismos gubernamentales se cuentan entre los mayores participantes. "Por limitar a los que se hacen negocios, podríamos quedar excluidos", afirmó Schmidt, el ex coordinador de ciberseguridad de la Casa Blanca. "Si aparace alguien con un virus que podría afectar a Millones de aparatos y dice, 'solo usted lo tendrá si paga lo que pido', siempre habra alguien dispusto a pagar." "Por desgracia", añadio, "pactar con el diablo en el ciberespacio se ha vuelto muy común".

   
 La Nota en ingles esta en: Nations Buying as Hackers Sell Flaws in Computer Code