Entrada

Nueva startup de día cero ofrece $20 millones por herramientas que pueden hackear cualquier smartphone.

Publicado
Por TheCodic
4 min de lectura

App icons displayed on a phone screen are seen through the broken glass in this illustration photo.

Créditos de la imagen: Jakub Porzycki/NurPhoto / Getty Images

Una nueva startup de los Emiratos Árabes Unidos está ofreciendo hasta 20 millones de dólares por herramientas de hacking que podrían ayudar a los gobiernos a acceder a cualquier smartphone con un mensaje de texto.

Advanced Security Solutions lanzó este mes y ahora está ofreciendo algunos de los precios más altos, al menos los públicos, en todo el mercado de zero-days. Zero-days son fallos en el software que son desconocidos para el desarrollador afectado en el momento de su descubrimiento. Estas herramientas pueden ser muy valiosas para los hackers, especialmente aquellos que trabajan para las fuerzas del orden y las agencias de inteligencia.

Además del mayor premio de 20 millones de dólares, que se aplica a cualquier sistema operativo móvil, la empresa también ofrece recompensas por exploits en varios tipos de software: 15 millones de dólares para los mismos tipos de zero-days para dispositivos Android y para iPhones; 10 millones de dólares para Windows; 5 millones de dólares para Chrome; 1 millón de dólares para los navegadores Safari y Microsoft Edge de Apple, entre otros.

No está claro quién está detrás de la empresa ni sus clientes.

“Empoderamos a las agencias gubernamentales, servicios de inteligencia y fuerzas del orden para operar con precisión en el campo de batalla digital,” dice el sitio web de la empresa. “Mantenemos una cooperación continua con más de 25 gobiernos y agencias de inteligencia en todo el mundo. Nuestros clientes vuelven para nuevos servicios, lo que refleja la confianza y el valor estratégico que proporcionamos en contextos operativos de alto riesgo, como el control del terrorismo y la lucha contra las drogas.”

El sitio web también dice que, aunque la empresa es nueva, “está compuesta exclusivamente por profesionales con más de 20 años de experiencia operativa en unidades de inteligencia elite y contratistas militares privados.”

Advanced Security Solutions no respondió a una serie de preguntas, incluyendo quién financia, posee y dirige la empresa, quiénes son los clientes, así como si la empresa tiene alguna restricción ética o legal sobre a qué gobiernos vender.

¿Tienes más información sobre Advanced Security Solutions o sobre otros proveedores de zero-days? Desde un dispositivo no laboral, puedes contactar a Lorenzo Franceschi-Bicchierai de manera segura en Signal en +1 917 257 1382, o a través de Telegram y Keybase @lorenzofb, o por correo electrónico. También puedes contactar a TechCrunch a través de SecureDrop.

Un investigador de seguridad con experiencia en el mundo de los zero-days le dijo a TechCrunch que los precios ofrecidos por Advanced Security Solutions están aproximadamente en línea con el mercado actual.

“Normalmente estos precios anunciados están en el rango,” dijo el investigador a TechCrunch bajo condición de anonimato para hablar libremente sobre la industria de los zero-days. El investigador añadió que el premio de 20 millones de dólares “es bajo dependiendo de lo despiadado que seas.”

El investigador también advirtió que, personalmente, no trataría con una empresa que no revela quién está detrás de ella, como en este caso. “No creo que debas vender bugs a nadie que esté tratando de ocultar quién es,” dijo.

El mercado de los zero-days ha crecido considerablemente en los últimos diez años, tanto en términos del número de empresas que participan en él como de los precios ofrecidos.

En 2015, Zerodium, un intermediario que, al igual que Advanced Security Solutions, también adquiere zero-days de investigadores y los vende a gobiernos, fue una de las primeras empresas en publicar su lista de precios. En ese momento, la empresa fundada por el intermediario de exploits Chaouki Bekrar ofrecía hasta 1 millón de dólares por herramientas para hackear iPhones. Luego, tres años después, llegó Crowdfense ofreciendo 3 millones de dólares por los mismos tipos de zero-days.

Una captura de pantalla de las recompensas ofrecidas por Advanced Security Solutions para los zero-days en los sistemas operativos. (Imagen: techcrunch)

Recientemente, los precios de los zero-days han aumentado, en parte debido a la mayor demanda y también porque es más difícil hackear los dispositivos y el software modernos, gracias a que las grandes empresas tecnológicas están mejorando su seguridad.

El año pasado, Crowdfense publicó su nueva lista de precios, que ofrecía hasta 7 millones de dólares por zero-days para acceder a iPhones, y 5 millones de dólares por los mismos tipos de exploits para Android. Los clientes también pueden comprar zero-days para aplicaciones específicas, especialmente aplicaciones de mensajería como WhatsApp (hasta 8 millones de dólares), y Telegram (hasta 4 millones de dólares).

Por su parte, Advanced Security Solutions dice que ofrece 2 millones de dólares por zero-days de Telegram, Signal y WhatsApp.

La empresa rusa Operation Zero fue una excepción en el mercado, ofreciendo hasta 20 millones de dólares por los mismos tipos de exploits que Advanced Security Solutions está buscando. Operation Zero se encuentra en una posición única porque dice que trabaja solo con el gobierno ruso, y para muchos investigadores en los Estados Unidos y Europa, es ilegal vender sus herramientas de hacking a Rusia, lo que significa que Operation Zero puede tener más dificultades para encontrar lo que busca.

Security Android bugs cybersecurity exploits hacking infosec iOS iPhone signal Telegram UAE united arab emirates WhatsApp Zero-days
Esta entrada está licenciada bajo CC BY 4.0 por el autor.