Los hackers que se dedican a encontrar vulnerabilidades en aplicaciones y servicios populares ahora tienen más incentivo que nunca para vender sus hallazgos a empresas como Zerodium en lugar de las tecnológicas responsables del producto vulnerable.
Esta compañía se dedica a comprar y vender exploits y zero days, y para 2019 han decidido elevar significativamente sus recompensas, pagando hasta 2 millones de dólares por un jailbreak remoto de iOS y hasta 1 millón por hackear WhastApp o iMessage.
Zerodium es una startup que compra herramientas de hacking y las vende a gobiernos alrededor del mundo. Son empresas como estas a las que las autoridades tienen que pagar un buen dinero si quieren herramientas para interceptar las comunicaciones de criminales o terroristas.
Terceros pagan mucho más que Google, Facebook, Microsoft y Apple por encontrar bugs en sus servicios
Aunque los fabricantes de dispositivos y proveedores de servicios tienen programas de recompensas a través de los cuales pagan buenas sumas de dinero a los hackers que reportan sus hallazgos, los números de Zerodium sin duda son más atractivos.
Por ejemplo, el mismo programa de recompensas de Microsoft llega a pagar hasta 250.000 dólares a quien encuentre vulnerabilidades graves de código de ejecución remota en Hyper-V. Es su mayor recompensa listada, una cifra que fue aumentada justo el año pasado.
Pero Zerodium llega a pagar hasta un millón de dólares por exploits de ejecución remota de código en Windows, han doblado la recompensa que ofrecían anteriormente de 500.000 dólares. Con semejante diferencia, no es difícil imaginar que un hacker prefiera vender a Zerodium que a Microsoft.
Apple tiene un programa de recompensas que lanzó en 2016, pero su máximo pago es de 200.000 dólares, algo que algunos expertos consideran insuficiente. Por su parte, Facebook, que tiene uno de los programas de recompensas más antiguos y maduros y ha pagado más de 7.5 millones de dólares desde que existe, pero apenas ha llegado a pagar un máximo de 50.000 dólares por recompensa. Bastante lejos del millón que ofrecen en Zerodium por un exploit en WhatsApp.
Google ofrece desde 100 a 31.337 dólares en su programa de recompensas por vulnerabilidades descubiertas que está en funcionamiento desde 2010. En contraste, Zerodium paga hasta 500.000 dólares por escalada de privilegios locales o ejecución de código remoto en Chrome o Android.
La empresa incluso ofrece pagar las recompensas en Bitcoin o Monero y en apenas una semana tras la revisión y aceptación de la oferta. Los investigadores de seguridad que se especialicen en vulnerabilidades de alto riesgo tienen mucho más incentivo monetario para vender a empresas como esta.
Y, la razón por la que WhatsApp y iMessage están tan alto en la pirámide de recompensas, es, cómo explicó el fundador de Zerodium a Motherboard, que muchas veces las apps de mensajería en general tienden a ser el único canal de comunicación que usan los objetivos, y como el cifrado hace difícil para sus clientes del gobierno el interceptar esas comunicaciones, tener la habilidad de comprometer esas apps directamente sin comprometer todo el dispositivo es mucho más estratégico y efectivo.
De hecho, dependiendo de que tan urgente sea la necesidad de hackear a alguien, los gobiernos pueden llegan a pagar hasta 4 millones de dólares por uno de estos exploits.
Ver todos los comentarios en https://www.genbeta.com
VER 1 Comentario