0 оценок0% нашли этот документ полезным (0 голосов)
122 просмотров5 страниц
El documento describe el mercado gris y blanco de las vulnerabilidades informáticas. Existen dos mercados principales: el mercado negro o informal donde se venden y compran vulnerabilidades de forma ilícita a través de foros en la deep web, y el mercado blanco o formal donde empresas venden vulnerabilidades legalmente. Los principales compradores son agencias de seguridad e inteligencia que usan vulnerabilidades como herramientas de espionaje, y también cibercriminales con fines ilícitos. El valor de las vulnerabilidades depende del impacto y complej
El documento describe el mercado gris y blanco de las vulnerabilidades informáticas. Existen dos mercados principales: el mercado negro o informal donde se venden y compran vulnerabilidades de forma ilícita a través de foros en la deep web, y el mercado blanco o formal donde empresas venden vulnerabilidades legalmente. Los principales compradores son agencias de seguridad e inteligencia que usan vulnerabilidades como herramientas de espionaje, y también cibercriminales con fines ilícitos. El valor de las vulnerabilidades depende del impacto y complej
El documento describe el mercado gris y blanco de las vulnerabilidades informáticas. Existen dos mercados principales: el mercado negro o informal donde se venden y compran vulnerabilidades de forma ilícita a través de foros en la deep web, y el mercado blanco o formal donde empresas venden vulnerabilidades legalmente. Los principales compradores son agencias de seguridad e inteligencia que usan vulnerabilidades como herramientas de espionaje, y también cibercriminales con fines ilícitos. El valor de las vulnerabilidades depende del impacto y complej
Economa en la Seguridad de la Informacin Economa de las vulnerabilidades
Gestin de la Seguridad
Abstracto La economa de las vulnerabilidades puede presentar diversos enfoques, pero de manera transversal, implican que cualquiera sea la vulnerabilidad tendr un costo monetario asociado, pudiendo variar debido a mltiples causas y los efectos que puede producir, destacndose el impacto de dicha vulnerabilidad sobre una cantidad importante de usuarios o clientes. Otra causa que es indicativa del valor en una vulnerabilidad tiene relacin con el activo sobre el cual puede aplicarse, por ejemplo, las vulnerabilidades que son propias de los sistemas de adquisicin de datos del tipo SCADA, generalmente son parte de la infraestructura crtica de un pas lo cual implica un alto impacto. Claramente podemos observar el efecto que tienen estas vulnerabilidades sobre los diversos sistemas de informacin, pero no as la procedencia de stas, ya que en muchos casos se tratan de vulnerabilidades por encargo o que se comercializan empleando medios no convencionales.
Introduccin Si se consulta en la web por un determinado producto y sus vulnerabilidades asociadas probablemente encontremos bastante informacin de las vulnerabilidades existentes, pero tambin es necesario considerar aquellas que en lo pblico no existen y que en algunos casos no son liberadas lo que produce un aumento del valor comercial. De manera manifiesta se puede indicar que la utilizacin de estas vulnerabilidades llevan consigo actividades de tipo ilcito. Obtener estas vulnerabilidades y amenazas no puede ser por los medios tradicionales de comercio, considerando que tanto el vendedor como el comprador buscan que estas transacciones se realicen con el mayor anonimato posible.
El Black Market de vulnerabilidades El mercado negro o economa informal desde un punto de vista genrico, comprende no slo actividades ilcitas, sino adems los ingresos no declarados procedentes de la produccin de bienes y servicios lcitos, tanto de transacciones monetarias como de trueques (Friedrich Schneider, Dominik Enste, 2002, p.2), esto pone de manifiesto que en el mundo digital tambin existe un mercado negro (Gdata, 2009), en el cual todo tiene un precio y donde proliferan transacciones ilcitas como ventas de tarjetas de crditos, envos de spam, bases de datos personales, ataques informticos entre otros. Tales transacciones incluyen la venta de vulnerabilidades que se comercializan en dos formatos distintos; el primero de ellos es mediante los denominados exploit pack( Paul Rubens, 2001), que son programas de hackeo automatizados y sencillos de usar, con los que se puede tomar el control de un dispositivo computacional. Cada vez que se detecta una vulnerabilidad o se publica alguna se agrega a este software para producir la infeccin masiva de usuarios con el propsito de obtener principalmente datos bancarios, los cuales posteriormente tambin son comercializados por medio del black market. Entre ms vulnerabilidades se agregan al programa, mayor es el precio que se debe pagar por la actualizacin y si la vulnerabilidad es desconocida tambin sumara valor a la actualizacin de estos programas. Una segunda modalidad de comercializacin es la venta directa de la vulnerabilidad, la cual se vende por medio de foros ilegales en la internet tradicional como en la internet profunda o deep web. En este caso el vendedor anuncia el producto con su respectiva vulnerabilidad y valor comercial, todo esto empleando medios que permitan el anonimato de las partes involucradas. Desde el punto de vista comercial y econmico el mercado de la vulnerabilidades tiene un gran crecimiento en la regin de Europa Oriental, principalmente en Rusia, segn Gunitskiy (2012) , profesor de estudios postsoviticos de la Universidad de Toronto, "El nfasis del sistema educativo sovitico en las matemticas y la ciencia, combinado con el colapso econmico post-comunista y la dbil industria privada, signific que hubiese muchos ingenieros altamente capacitados pero pocos medios legtimos para que desarrollasen sus habilidades", lo cual implica que el destino del 35% del dinero que se produce por ataques cibernticos en el mundo es Rusia, lo que equivale a una cifra de entre US$2.500 y US$3.700 millones (Mark Galeotti, 2013).
El White market de vulnerabilidades De forma anloga al mercado negro, tambin existe un mercado al que se le puede dar el nombre de White market o mercado tradicional, en donde el vendedor y comprador emplean medios convencionales y legales para ejecutar la transaccin. Existen muchas empresas que venden vulnerabilidades por diversos canales de ventas. Una de las modalidades es la venta de software para realizar pruebas de penetracin. Como ejemplo, la empresa Rapid7, con su producto Metasploit, adems de vender el soporte para el programa, vende las nuevas vulnerabilidades publicadas o detectadas por medio de actualizaciones diarias. Si bien la empresa no fija un valor por cada nueva vulnerabilidad agregada, el cliente debe pagar un costo fijo que se calcula de manera anual. Estos programas en trminos de funcionamiento son muy similares a los antivirus, por lo que si no se encuentran debidamente actualizados, no cumplen con su finalidad y carecen de eficacia. Otra modalidad es la venta directa de vulnerabilidades, una de las empresas que emplea este canal de venta es Voupen (Robert Lemos, 2012), la cual por medio de crditos permite a usuarios que puedan acceder directamente a vulnerabilidades, mtodos de ataques, configuraciones y a todo lo relacionado con la explotacin de vulnerabilidades. Finalmente, el canal mas pblico es aquel empleado por grandes empresas de software que pagan recompensas por las vulnerabilidades detectadas en funcin de la complejidad e impacto.
En trminos econmicos, los diversos canales de ventas tienen sus propios valores para las vulnerabilidades de algunos productos (Andy Greenberg,2012), como se puede ver en la siguiente grfica:
Tabla 1. Clasificacin de vulnerabilidades por valor en dlares americanos ADOBE READER $5.000 - $30.000 MAC OSX $20.000 - $50.000 ANDROID $30.000 - $60.000 FLASH O JAVA BROWSER PLUG-INS $40.000 - $100.000 MICROSOFT WORD $50.000 - $100.000 WINDOWS $60.000 - $120.000 FIREFOX OR SAFARI $60.000 - $150.000 CHROME OR INTERNET EXPLORER $80.000 - $200.000 IOS $100.000 - $250.000
A pesar de que existen estos valores referenciales, el precio de una vulnerabilidad difcilmente puede ser regulado debido a que estos mercados son transnacionales (Kelly Jackson, 2013), adems que a pesar de ser mercados lcitos, los fines en los cuales son empleadas las vulnerabilidades van por la delgada lnea de lo legal e ilegal.
Compradores de vulnerabilidades Ya no es un secreto saber quienes son los principales compradores de vulnerabilidades en el white market, con lo que es posible inferir que se trata de los mismos compradores del black market; quienes son?, principalmente agencias de seguridad y espionaje en diversos pases del orbe y cibercriminales. Las agencias de seguridad y espionajes son los mejores clientes debido a que el contar vulnerabilidades (en particular vulnerabilidades desconocidas) les permite obtener potenciales fuentes informacin para agregar a sus sistemas y tambin como ciberarmas las cuales pueden ser empleadas con un costo destructivo mayor que el de un arma convencional por un precio muy bajo.
Conclusiones Las vulnerabilidades comercializadas en los diversos mercados permiten entender que existe una economa asociada, la cual genera una gran cantidad de dinero para quienes venden vulnerabilidades. Entendiendo que existe un mercado negro y otro tradicional, ambos lucran con elementos que en su finalidad estn asociados a actividades ilcitas o que no estn lo suficientemente reguladas. En otro enfoque, queda de manifiesto que las empresas fabricantes de software no consideran los aspectos de seguridad en sus productos, por lo que asignan estas responsabilidad a terceros, quienes actan como casa recompensas no asegurando que el producto tenga una cantidad importante de otras vulnerabilidades. Finalmente la economa de vulnerabilidades es una economa bastante acotada, en donde los vendedores son pequeas empresas especializadas en el descubrimiento de vulnerabilidades y sus clientes agencias de gobierno.
Referencias
Schneider F., Enste D. (2002). Ocultndose en las sombras: El crecimiento de la economa subterrnea. Recuperado de https://www.imf.org/external/pubs/ft/issues/issues30/esl/issue30s.pdf
Grupo Data Security. (2009). El mercado negro de Internet, una economa sumergida donde todo tiene un precio. Recuperado el 26 de Abril de 2014 de https://www.gdata.es/sobre- gdata/pressecenter/comunicados/articulos/article/1348-el-mercado-negro-de- internet.html
Rubens, P. (2011). Para ser hacker ya no hay que ser experto. Recuperado el 26 de Abril de 2014 de http://www.bbc.co.uk/mundo/noticias/2011/11/111125_hackers_paquetes_rusia_mr.sht ml
Gunitskiy, V. (2012). Web Gang Operating in the Open Recuperado el 26 de Abril de 2014 de http://www.nytimes.com/2012/01/17/technology/koobface-gang-that-used-facebook-to- spread-worm-operates-in-the-open.html?pagewanted=all&_r=0
Galeotti, M. (2013). Es Rusia un paraso para hackers? Recuperado el 26 de Abril de 2014 de http://www.bbc.co.uk/mundo/noticias/2013/08/130809_tecnologia_snowden_rusia_ha ckers_paraiso_dp.shtml
Lemos, R. (2012). Private market growing for zero-day exploits and vulnerabilities Recuperado el 26 de Abril de 2014 de http://searchsecurity.techtarget.com/feature/Private-market-growing-for-zero-day- exploits-and-vulnerabilities
Greenberg, A. (2012). Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees). Recuperado el 26 de Abril de 2014 de http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell- spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/
Jackson, K. (2013), Hacking The Zero-Day Vulnerability Market Recuperado el 26 de Abril de 2014 de http://www.darkreading.com/vulnerabilities--- threats/hacking-the-zero-day-vulnerability-market/d/d-id/1141026?