El mercado legal de las vulnerabilidades de seguridad


Hasta 2,3 millones de euros puede pagar una empresa por conocer un fallo importante de seguridad en los móviles con sistema operativo Android. Algo menos si hablamos de móviles con iOS: 1,8 millones. Es el mercado de los fallos de seguridad en dispositivos tecnológicos, que afecta a móviles y ordenadores, pero también a dispositivos IoT de todo tipo, módems, servidores, televisiones e incluso vehículos.

Un ecosistema de compraventa que recientemente salió del mercado negro y que hoy reúne a un buen número de actores diversos: revendedores de fallos, expertos en seguridad que buscan dinero o fama (o ambos), a las propias empresas que son víctimas de tales descubrimientos, a su competencia e incluso a gobiernos que pagan, y mucho, por acceder a esta información altamente sensible.

En qué consisten las vulnerabilidades de seguridad

Los fallos que se intercambian en este mercado son los conocidos como vulnerabilidades de seguridad, o exploits. Errores de programación, negligencias, descuidos que pueden ser utilizados para acceder a un software o a un hardware y, ya desde dentro, ejecutar un software malicioso con destructivas consecuencias. Estas “puertas traseras” afectan a sistemas operativos, a programas y apps y también al software que los dispositivos necesitan para funcionar (llamado firmware), así que cualquier persona está a merced de sufrir un ataque. Y cualquier empresa.

Un ejemplo reciente fue el ransomware WannaCry, un software malicioso que infectó en 2017 a varias empresas en el mundo, algunas españolas. Bloqueó sus redes de ordenadores a cambio de un rescate. Este ataque, que supuso millones de pérdidas y evidenció la debilidad de algunas compañías en materia de seguridad, estuvo originado por un fallo de vulnerabilidad en Windows descubierto meses atrás. Un fallo que recorrió varias manos antes de ser conocido por quienes idearon el destructivo WannaCry. Y manos de todo tipo, pues esta vulnerabilidad en particular estuvo en los archivos de la NSA -National Security Agency-, la agencia de seguridad nacional estadounidense, hasta que un grupo de ciberterroristas llamado The Shadow Brockers robó a la mismísima NSA y difundió públicamente aquella y otras tantas vulnerabilidades. Parece una trama de espías, pero es el día a día del mundo de la ciberseguridad.

ciberseguridad-candado-llave-azul

¿Por qué conocer estas vulnerabilidades es tan importante?

Es como funcionan los ciberataques actualmente. Cuando pensamos en uno, es posible que nos imaginemos a una persona solitaria, probablemente en una habitación oscura, con chándal y rodeada de pantallas de ordenador y un número ridículamente exagerado de módems y servidores. Es la imagen que algunas películas introdujeron en el imaginario colectivo a finales de los 90 y principios de siglo, pero no tiene mucho que ver con la realidad.

La inmensa mayoría de los ciberataques se producen de forma automatizada. No porque una persona teclee código en una pantalla oscura, sino a través de miles y miles de computadoras que indiscriminadamente intentan acceder a otros ordenadores para así poder ejecutar un código malicioso desarrollado por una persona que puede o no pertenecer a un grupo organizado de ciberdelincuentes (y que puede o no vestir chándal mientras programa). No es una lucha de ingenio, sino de fuerza bruta, con miles de ordenadores lanzando ataques sin parar ni apuntar. La batalla que se libra en el ciberespacio se parece mucho a un mapamundi donde distintas naciones lanzan cibermisiles a otras, algo como lo que FireEye, una compañía experta en ciberseguridad, reproduce en su mapa de ciberataques en falso tiempo real.

Y una vez se ha hecho uso de esa vulnerabilidad y el ciberdelincuente está dentro del sistema, entonces puede hacer prácticamente lo que quiera. Puede ejecutar un malware que bloquee el sistema para exigir un rescate (ransomware), robar información relevante o cambiarla si busca desestabilizar una compañía, introducir un software de vigilancia para monitorizar toda la actividad de ese ordenador… Se pueden hacer muchas cosas, pero antes hay que entrar. Y ahí reside el valor de conocer las vulnerabilidades de seguridad.

Busca mis fallos, por favor: empresas que pagan

Amazon, Apple, Facebook, Google, Microsoft, Samsung, Twitter, Uber, Yelp y muchísimas más compañías tecnológicas recompensan a quienes descubren sus fallos. Conscientes de lo que un fallo de seguridad grave podría suponer para su imagen, casi todos los gigantes tecnológicos incentivan a sus usuarios a que fuercen y retuerzan sus mecanismos de seguridad para dar con algún punto débil. A cambio del hallazgo, la compañía puede ofrecer una recompensa de miles de euros, la llamada bug bounty. Google y Microsoft ofrecen unos 27.000 euros por fallo importante; Yahoo o Yelp, sobre los 14.000, y Uber, algo menos, unos 10.000 euros. Facebook pone el listón más bajo, unos 454 euros por dar con un peligro leve, pero no señala ningún límite si el descubrimiento fuera mayúsculo.

Si alguien descubre un fallo de seguridad, el protocolo es casi siempre el mismo. Puede ser un informático individual, un colectivo o una empresa especializada en encontrar bugs, sea quien sea el descubridor del fallo, lo primero es lo primero: no difundirlo. Después, se contacta con la empresa para que subsane el error y se dan los datos bancarios para recibir la jugosa recompensa.

En cuanto a la compañía a la que descubren la vulnerabilidad, lo habitual es que ponga a sus desarrolladores a trabajar en una solución, que saldrá unos días más tarde, quizá semanas en los casos más graves, en forma de actualización. Aunque en muchas ocasiones pensamos que las actualizaciones mejoran o añaden funcionalidades a los sistemas operativos o a las apps, lo cierto es que casi siempre se lanzan con un objetivo bien distinto: corregir vulnerabilidades de una forma muy discreta (la máxima es que cualquier programa o sistema operativo tiene vulnerabilidades, el problema surge cuando se identifican). De ahí que sea obligatorio mantener actualizados software y hardware (como bien recordarán las víctimas del WannaCry, que explotó una vulnerabilidad que ya había sido corregida meses atrás y que en la actualización vigente ya no existía).

Profesionales-en-sala-de-control-ciberseguridad.

Un Tesla Model 3 para quien consiga hackearlo

Además de los programas de recompensas, también se celebran anualmente concursos donde las tecnológicas se prestan a ser examinadas. Uno de los más famosos es Pwn2Own, en cuya edición de este año han participado no sólo las compañías habituales (Microsoft, Google, Apple…) sino también Tesla, que ha ofrecido hasta 272.000 euros por descubrir fallos en sus vehículos con sistemas de conducción automática, y un Tesla Model 3 al equipo que fuera capaz de introducirse en su sistema. (¿Lo consiguieron? Para terror de quienes posean este vehículo, la respuesta es sí)

Aunque el concurso plantea retos genéricos y nada sorprendentes (saltarse los mecanismos de seguridad de programas que operan con licencia, acceder de forma remota a software de Office, utilizar redes WiFi ajenas para todo tipo de acciones, etc.), las empresas aprovechan la ocasión para poner a prueba sus últimos proyectos y protocolos de seguridad. Si se descubre algo raro, queda restringido al ámbito del concurso y no sale a la luz. De nuevo, mantener en secreto las vulnerabilidades es casi tan importante como solucionarlas.

Un pacto de silencio que no siempre funciona

Las recompensas que pagan las compañías a quienes señalan sus puntos débiles no sólo premian el ardor investigador de los expertos en seguridad, sino que también compran su silencio. De hecho, no es de extrañar que las recompensas sean tan elevadas. Si el salario medio en Silicon Valley ronda los 90.000 euros anuales, las recompensas más altas pueden alcanzar una tercera parte o doblar y triplicar directamente estos sueldos si hablamos de los concursos. Ante estas cantidades, lo normal es que la persona que descubre el fallo prefiera ganar el sueldo equivalente a un cuatrimestre antes que abrir su cuenta de Twitter y alardear del descubrimiento, algo que ha ocurrido algunas veces.

Uno de los casos más conocidos sucedió en verano del año pasado, cuando el usuario de Twitter @sandboxEscaper (cuenta hoy eliminada) publicó un fallo que afectaba a las últimas versiones de Windows. No era tan grave como un acceso remoto a otro sistema, pero sí se le consideró una vulnerabilidad de tipo medio. Gracias a este fallo, un usuario normal del sistema operativo podría cambiar sus permisos y convertirse en administrador, con lo que su control sobre el ordenador sería absoluto. Es fácil imaginar lo que podría ocurrir si un estudiante explotara esta vulnerabilidad en los ordenadores de su facultad o si un empleado enfadado con la dirección de su empresa diera rienda suelta a su malestar.

La cuestión es que quien descubrió este fallo de Windows prefirió publicarlo antes que avisar a la compañía. Violó un pacto no escrito en el entorno informático: al descubrir un fallo, hay que avisar a la compañía, no publicarlo, De hacerlo no solo se barre la imagen de la compañía, sino que también se pone en peligro a sus usuarios (y en el caso de los de Windows, hablamos de unos 1.500 millones de dispositivos en todo el mundo).

El negocio de la compraventa

Ante el descubrimiento de un fallo, el descubridor no solo puede elegir entre comunicárselo a la compañía para que lo resuelva o bien publicarlo a los cuatro vientos para sembrar el caos. Hay una tercera opción: vender la información a alguien que pudiera estar muy interesado. ¿La competencia? No, una empresa nunca se expondría a dejar por escrito una transacción de este tipo, ni siquiera un intercambio de correos al respecto. Es algo mucho más sencillo, porque ya hay empresas que se dedican a comprar fallos para vendérselos a otras compañías e incluso a gobiernos, siempre bajo la más absoluta confidencialidad.

¿Y son legales estas empresas? Absolutamente. Hace años, los compradores de vulnerabilidades se ocultaban en la web profunda, o deep web, pero hoy son fácilmente localizables e incluso publican los precios que pagan a quienes encuentran los fallos. Ser capaz de ejecutar en remoto un código en un navegador Chrome, 455.000 euros; hacer lo mismo en el Outlook, 227.000; en el Word o Excel, 91.000; en un blog operado con Joomla, 9.100 euros.

Que los mayores precios se paguen por la posibilidad de acceder de forma remota a sistemas operativos y programas no es casualidad, y entronca directamente con la táctica de la ciberguerra actual ya comentada antes, basada en que sean muchos ordenadores los que atacan a otros indiscriminadamente. Si se puede acceder a un ordenador de forma remota, se puede ejecutar un código para que éste se convierta en un ordenador atacante, incluso aunque el dueño del ordenador no lo sepa. Otra posibilidad que brinda el acceso remoto: ataques ransomware para secuestrar el contenido a cambio de un rescate.

¿Y quiénes pueden estar interesados en comprar estas vulnerabilidades a las empresas? Pues la lista no es extensa: ciberdelincuentes con alto poder adquisitivo, compañías tecnológicas que pueden pagar mucho por ver los trapos sucios de la competencia pero más aún por guardar a buen recaudo los suyos propios y gobiernos. Sí, gobiernos. El caso paradigmático del uso de una vulnerabilidad para atacar un país tiene como protagonista a Estados Unidos y su virus Stuxnet.

El país norteamericano utilizó una vulnerabilidad en el software de las centrales nucleares de Irán para acceder al sistema y, desde dentro, ejecutar un malware que inutilizaba unas máquinas concretas e indispensables para enriquecer el uranio, unas centrifugadoras Siemens. Las autoridades iraníes no comprendieron que sus sistemas habían sido vulnerados hasta que echaron cuentas sobre la cantidad de veces que se averiaban estas centrifugadoras sin previo aviso ni causa aparente. Entonces, y comprendiendo que habían sido atacados de una forma tan sutil como demoledora, en 2010 anunciaron la paralización del programa nuclear iraní, algo que llevaban intentando, por la vía diplomática, las grandes potencias mundiales desde el comienzo del siglo XXI.

La existencia de un mercado legal de vulnerabilidades de seguridad suscita opiniones encontradas. Sin embargo, lo que es indiscutible es que la existencia de tantos compradores de fallos (sean las propias compañías o las empresas revendedoras) ha hecho que individuos, colectivos y compañías expertas en ciberseguridad se afanen en poner a prueba los sistemas de seguridad. Y, esto, unido a que las compañías tienden a arreglar las vulnerabilidades tan pronto como se descubren, está consiguiendo sistemas operativos, programas y hardware más seguros cada día.