Soy plenamente consciente que la opinión propuesta en este artículo puede ser controvertida en algunos sectores de la industria de la Ciberseguridad. No obstante, con el estado de la Ciberseguridad de los clientes, donde la mayoría de nosotros estamos haciendo lo posible para proteger de los nefastos fondos de Internet, estamos debilitando de forma activa la seguridad. Y sí, creo que lo estamos haciendo de forma activa al vender días cero a los corredores en la darknet o a las empresas en Internet, en lugar de revelárselo a los vendedores para que les puedan poner un parche.
El papel de los investigadores de vulnerabilidades
Antes de hablar de la comercialización con días cero, me gustaría comenzar con las razones del plan de recompensas que la mayoría de las empresas han comenzado a utilizar para conseguir que los investigadores de vulnerabilidades se las revelen a los vendedores, en lugar de venderlas a los brokers o a la darknet. En la última década del siglo XX y principios del XXI un investigador de vulnerabilidades que se dirigía a un proveedor con un informe de fallo corría un gran riesgo de ser demandado o acusado de piratear al proveedor. Por aquel entonces, un investigador responsable tenía que conformarse con el comportamiento agresivo de los distintos proveedores, algo que yo, incluso entonces, pensaba que era poco previsor.
En muchos casos, en lugar de publicar las vulnerabilidades a los proveedores, se hacían en sitios como SecurityFocus y Bugtraq. Sin embargo, a principios del 2000, concretamente en 2003 una empresa llamada iDefense puso en marcha un modelo de negocio que pagaba a los hackers por acceder a las diversas vulnerabilidades que encontraban en el software de los proveedores. Esto supuso un cambio de mentalidad, ya que pasaban de ser un investigador de vulnerabilidades a poder ganar dinero con las debilidades encontradas en los softwares de los distintos proveedores. Al principio no era mucho dinero, ganaban 75 dólares por cada una. No era para hacerte rico.
Como era de esperar, esto no les sentaba nada bien a los proveedores de software, como Microsoft, Oracle y similares. En las conferencias Black Hat de los años posteriores al 2003, se podía escuchar a la gente de seguridad corporativa cómo le gritaban a los hackers sobre la ética de vender los bugs a empresas como iDefense. En defensa de IDefense, ¡los fallos se entregaban a los proveedores para que los corrigieran! iDefense ganaba dinero protegiendo a sus clientes contra estas vulnerabilidades hasta que los proveedores las corregían. En mi opinión, era una forma muy ética de hacer negocios. Los fallos seguían ahí fuera, pero ahora iDefense podía proteger a sus clientes, porque conocían las vulnerabilidades.
La seguridad de los sistemas de software comenzaba a ser cada vez más un tema político y sensible para los vendedores, al mismo tiempo que el público tomaba conciencia de la importancia de los sistemas de software en sus vidas y en las democracias. Las grandes noticias de la época fueron el virus ILOVEYOU y el código rojo, y en 2003 el gusano SQL Slammer que le dio la vuelta al mundo en cuestión de minutos. La seguridad del software estaba en boca de todos. Al mismo tiempo, iDefense empezó a recibir llamadas de «contratistas» preguntando si estaban interesados en retener algunos de los bugs por los que habían pagado 400 dólares, recibiendo 150.000 dólares por ello. Y por supuesto, sin decirle a nadie que lo habían hecho.
Comercio con días cero
Como he plasmado anteriormente, hace casi 20 años el comercio y la importancia de días cero fue importante para los EE.UU. Sin embargo, la compra de días cero no se limita a Estados Unidos, los demás países también lo hacen ahora, incluyendo el tuyo. Si un fallo valía 150.000 dólares para una agencia o contratista, los proveedores de software se encontraban ante un serio dilema: ¿cómo conseguir que los investigadores les enviaran los fallos en lugar de venderlos en mercados grises? De esta forma nacen las recompensas por fallos de los grandes proveedores de software, no quedaba de otra y, además, los proveedores también necesitaban distanciarse del comportamiento agresivo de años anteriores. Con el transcurrir del tiempo, en el año 2010 se descubre el gusano Stuxnet, usando previamente 4 días cero desconocidos en MS Windows como medio para sabotear el programa nuclear iraní.
Stuxnet es el primer caso, que conocemos en el que un Estado nación ataca a otro utilizando la cibernética como arma, llevando al mundo digital a un nivel superior de importancia geopolítica. La cibernética se convirtió en un espacio de batalla junto con el aire, el mar y la tierra, la ha democratizado la ciberguerra, puesto que un país ya no tiene que competir en número de soldados, barcos o tanques para competir en el ámbito global, sólo tiene que entrenar y educar a algunas personas en cibernética, para poder competir al mismo nivel que las potencias globales, y este aumento de la competencia en el ciberespacio es lo que ha incrementado el valor del derecho de días cero en la actualidad.
Conflicto entre la ética y el beneficio
Dinero
¿Por qué los investigadores de vulnerabilidades venden sus hallazgos de días cero en el mercado gris, en lugar de reclamar recompensas por fallos a los propios proveedores de software? Es una cuestión de dinero. Un día cero correcto, en la plataforma adecuada, como un iPhone o MS Windows, puede venderse por millones de dólares a naciones o empresas como el grupo israelí NSO, el italiano Hacking Team o el francés Vupen. En los casos de NSO Group y Hackingteam, su modelo de negocio es vender herramientas a las fuerzas del orden de países amigos para sus fines de investigación, pero en ambos casos estas herramientas han llegado a regímenes represivos y se han utilizado contra periodistas y disidentes para vigilarlos y, en algunos casos, encarcelarlos lo que me lleva al punto ético de este artículo de opinión.
Ética
He escuchado varias veces a investigadores de vulnerabilidades decir que no son responsables de cómo se utilizan en el mundo real los días cero que venden. Al vendérselo a empresas o a los estados naciones lo que están haciendo es atribuirles su ética a estas entidades.
¡Error!
Elegiste vender un día cero a un vendedor o a un estado en lugar de informar al vendedor del software en cuestión por el beneficio económico que veías en hacerlo. Es comprensible, sí, a todos nos gustaría ganar más dinero, pero en este caso, no revelar la vulnerabilidad a un proveedor para que le ponga un parche, nos expone a todos a la vulnerabilidad que está ahí fuera, y que las empresas de software desconocen. Entiendo perfectamente la tentación de que te ofrezcan una suma de siete cifras por una vulnerabilidad de día cero en la última versión de Apple iOS pero, al no revelársela a Apple, estás, en mi opinión, haciendo que los millones de usuarios de Apple estén menos seguros y tratar de trasladar la ética a la organización o empresa a la que se la vendiste es, en mi humilde opinión, ingenuo. Vemos una y otra vez que la ética pasa a un segundo plano en favor del beneficio, como hemos visto en el caso de NSO group y Hackingteam.
Le pido por favor que comunique sus hallazgos al proveedor de software en cuestión y acepte la pequeña recompensa por fallos en lugar de las sumas de siete cifras que se han pagado en el mercado gris. Ingenuo por mi parte, lo sé, pero al menos piénsalo…
Traducción al castellano de Arlet Portal del artículo original en inglés, publicado en Cybersecurity Magazine, cuya divulgación en Cuadernos de Seguridad ha sido autorizada por el autor.
