Según relata Reuters en un extenso reportaje, el gobierno de Estados Unidos se encuentra en estos momentos librando una guerra informática secreta de proporciones tan enormes que incluso se ha convertido en el mayor comprador del mercado negro donde los hackers y criminales compran y venden exploits.
Lo preocupante para muchos analistas de seguridad estadounidenses es que no están comprando malware para defenderse de ataques. Más bien, están ocupando estas herramientas para infiltrarse en redes de computadores en el extranjero para dejar instalados programas espía y armas cibernéticas para dañar a los sistemas de otros países.
El asunto es que estos exploits serían mucho mas útiles para toda la población (especialmente la estadounidense) si las vulnerabilidades se expusieran públicamente. “Mientras el gobierno gasta más dinero en técnicas ofensivas, es mayor el interés en asegurarse que las vulnerabilidades de seguridad se mantengan sin reparar en los software de uso masivo“, asegura Reuters.
Esto ha causado que muchos hackers talentosos que antiguamente alertaban a compañías cuando encontraban fallas de seguridad en sus productos ahora están vendiendo la información y los exploits al que ofrezca más dinero. Anualmente se están gastando decenas de millones de dólares por parte de contratistas de defensa y agencias de seguridad en comprar exploits, por sobre todo los ataques aprovechando vulnerabilidades de día-cero.
Los ataques de día-cero son un tipo de exploit que consiste en utilizar vulnerabilidades que se desconocen tanto públicamente como por parte del fabricante del producto, por lo que es considerado ‘uno de los más peligrosos instrumentos de una ciberguerra’.
Las empresas contratistas de defensa (porque el gobierno evita involucrarse directamente en este tipo de acciones) aseguran que el costo en el mercado negro de un ataque de día-cero empieza desde los US$ 50.000, dependiendo de factores como la popularidad del software y cuantos días se espera que se mantenga desconocida la vulnerabilidad.
“Mi trabajo era tener 25 ataques de día-cero en un pendrive USB“, afirmó un ex ejecutivo de una contratista de defensa que compraba vulnerabilidades de hackers independientes para entregárselos al gobierno norteamericano.
La agencia de noticias incluso informa que tuvo acceso a un catálogo de productos de una gran contratista de defensa con la condición de mantener el anonimato. Entre ellos había uno que permitía controlar cualquier iPhone para espiar a escondidas, y otro que era un sistema para instalar spyware en impresoras e infectar con malware a computadoras cercanas vía ondas de radio, incluso sin que las máquinas estén conectadas.
Todas las herramientas del catálogo para controlar y robar información se basaban en ataques de día-cero y contaban con versiones para máquinas con Windows, OS X y Linux. La mayoría de los programas costaban más de US$ 100.000.
Link: Special Report: U.S. cyberwar strategy stokes fear of blowback (Reuters)