Como se ha mencionado anteriormente, se conoce como vulnerabilidades día cero a las fallas en programas informáticos nunca antes descubiertas y cuya explotación no requiere interacción del usuario del sistema comprometido. En la comunidad de la ciberseguridad, existen compañías como Zerodium que se dedican a la compra de informes sobre vulnerabilidades día cero, pero es importante preguntarse: ¿por qué el interés en estas fallas de seguridad?
Mientras que los hackers maliciosos buscan esta clase de vulnerabilidades para causar severos daños a gran escala, las compañías de tecnología y algunas empresas como Zerodium, conocidos como “brokers de exploits”, tratan de colaborar de cerca con los investigadores que descubren estas fallas para evitar su explotación y fortalecer la seguridad de los ecosistemas tecnológicos más utilizados en el mundo.
Acorde a expertos en ciberseguridad, actualmente Zerodium está buscando la adquisición de exploits día cero que impacten algunas de las implementaciones de software más usadas en la actualidad, incluyendo desarrollos como:
- Sistemas operativos: Microsoft Windows, Linux, Apple macOS, entre otros
- Navegadores: Chrome, Edge, Firefox y Safari
- Smartphones: Apple iOS en sus versiones 12.x y 13.x, Android 8.x y 9.x, BlackBerry 10 y Windows 10 Mobile
- Enrutadores: ASUS, Cisco, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link
- Servidores email: Microsoft Exchange, Dovecot, Postfix, Exim y Sendmail
Por otra parte, al publicar las actualizaciones de su programa de recompensa por vulnerabilidades, la compañía anunció que ahora estará dispuesta a pagar hasta 2.5 millones de dólares por las vulnerabilidades del sistema operativo Android que no requieran interacción de las víctimas para su explotación, la cantidad más alta jamás pagada para una falla de Android. En segundo lugar, la compañía pagará hasta 2 millones de dólares por un exploit similar en iOS, el sistema operativo de Apple.
La idea popular es que los dispositivos iOS siempre han sido más seguros que los que ejecutan Android, entonces, ¿por qué Zerodium está dispuesta a pagar más dinero por un error supuestamente más fácil de descubrir? Los expertos en ciberseguridad mencionan que existen dos motivos para esto; en primer lugar, las más recientes versiones del sistema operativo Android se han vuelto más seguras, por lo que las fallas día cero son cada vez más difíciles de encontrar. Además, recientemente se han revelado múltiples fallas día cero en iOS, incluso durante la prueba beta del nuevo sistema iOS 13, fenómeno que ha influido en el valor que reciben las fallas en este sistema.
Con el anuncio de Zerodium, ya sólo queda esperar a que los investigadores sean capaces de descubrir estas fallas en los sistemas mencionados, no obstante, aún queda una disyuntiva para los expertos; en caso de descubrir una de estas fallas, los expertos deberán decidir si informar directamente a las compañías afectadas, o recurrir a los brokers de exploits, que ofrecen mejores recompensas, pero que suelen revender estos informes a las compañías o incluso a algunas agencias gubernamentales.
Acorde a expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) compañías como Zerodium han estado incrementando las cantidades que ofrecen como recompensa por esta clase de errores. Recientemente la compañía anunció recompensas de hasta 500 mil dólares por errores en Linux, al igual que para múltiples distribuciones del sistema.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
