Todavía hoy están apagándose las llamas del incendio provocado por el reciente escándalo de Hacking Team, el grupo que estaba siendo recurrido por Gobiernos y agencias de todo el mundo para usar herramientas de espionaje y monitorización contra ciudadanos, empresas y cualquier tipo de entidad. Ahora se sabe que esta compañía habría pagado cuantiosas sumas de dinero por hacerse con vulnerabilidades de día cero descubiertas por informáticos, analistas y hackers de todo el mundo.
La web Ars Technica ha sacado a la luz algunos datos curiosos de los correos electrónicos publicados por Hacking Team, la compañía italiana responsable de software espía que hace unos días fue hackeada y que reveló 400 GB de datos confidenciales con el nombre de sus populares clientes entre los que se encontraba el CNI o la Guardia Civil. En algunos de estos correos se aprecia como un pirata informático de Moscú habría vendido una vulnerabilidad zero-day a Hacking Team por una cifra cercana a los 45.000 dólares.
El e-mail había sido enviado por el propio hacker que habría ofrecido diversos exploits para las últimas versiones de Java, Flash Player, Silverlight o Safari. Esta información tiene un alto valor ya que ofrece a los piratas informáticos la opción de aprovechar un fallo de seguridad que todavía no ha sido detectado para introducir malware en el software o modificarlo de múltiples maneras para el beneficio propio. Como los desarrolladores todavía no se han percatado de la vulnerabilidad, no existe un parche que lo pueda contrarrestar por lo que el primer ataque siempre dará en el blanco.
45.000 euros por vulnerabilidad, a pagar a plazos y con descuento
La respuesta de Hacking Team no tardó en llegar y preguntaba directamente por un precio a la persona que enviaba los e-mail. A través de un listado se ofrecía una serie de precios por paquetes e incluso descuentos dependiendo del volumen de exploits en los que se estuviera interesado. Todo un mercadeo que habría propiciado que se crearan herramientas para atentar contra la privacidad y la integridad tecnológica de millones de usuarios en todo el mundo.
La cifra que ha quedado marcada en rojo eran los 45.000 dólares que se pagaban por una compra sin exclusividad, y que podían abonarse a plazos. Dichos pagos podían cancelarse en el momento en el que el propietario del software atacado corrigiera la vulnerabilidad vía parche, a la vez que se solicitaba a Hacking Team que no alertara de esto a los desarrolladores. En posteriores ventas se han llevado a cabo descuentos al grupo modo de rebajas por ser un cliente habitual, como puede apreciarse en los correos publicados en WikiLeaks.
- Visita nuestro foro de seguridad informática
El contacto conocido como Toporov habría mantenido una relación “comercial” con Hacking Team durante casi 2 años, curiosamente hasta finales de abril de 2015 y la propia web Ars Technica ha podido contactar con él asegurando que no solo vendía sus descubrimientos a Hacking Team y que pensaba que los principales clientes eran los Gobiernos de Estados Unidos y Europa.
Fuente:https://www.adslzone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
