El mercado gris de las vulnerabilidades

Economa en la Seguridad de la Informacin Economa de las vulnerabilidades

Gestin de la Seguridad

Abstracto
La economa de las vulnerabilidades puede presentar diversos enfoques, pero de manera
transversal, implican que cualquiera sea la vulnerabilidad tendr un costo monetario
asociado, pudiendo variar debido a mltiples causas y los efectos que puede producir,
destacndose el impacto de dicha vulnerabilidad sobre una cantidad importante de
usuarios o clientes. Otra causa que es indicativa del valor en una vulnerabilidad tiene
relacin con el activo sobre el cual puede aplicarse, por ejemplo, las vulnerabilidades que
son propias de los sistemas de adquisicin de datos del tipo SCADA, generalmente son
parte de la infraestructura crtica de un pas lo cual implica un alto impacto.
Claramente podemos observar el efecto que tienen estas vulnerabilidades sobre los
diversos sistemas de informacin, pero no as la procedencia de stas, ya que en muchos
casos se tratan de vulnerabilidades por encargo o que se comercializan empleando
medios no convencionales.

Introduccin
Si se consulta en la web por un determinado producto y sus vulnerabilidades asociadas
probablemente encontremos bastante informacin de las vulnerabilidades existentes, pero
tambin es necesario considerar aquellas que en lo pblico no existen y que en algunos
casos no son liberadas lo que produce un aumento del valor comercial. De manera
manifiesta se puede indicar que la utilizacin de estas vulnerabilidades llevan consigo
actividades de tipo ilcito. Obtener estas vulnerabilidades y amenazas no puede ser por los
medios tradicionales de comercio, considerando que tanto el vendedor como el comprador
buscan que estas transacciones se realicen con el mayor anonimato posible.

El Black Market de vulnerabilidades
El mercado negro o economa informal desde un punto de vista genrico, comprende no
slo actividades ilcitas, sino adems los ingresos no declarados procedentes de la
produccin de bienes y servicios lcitos, tanto de transacciones monetarias como de
trueques (Friedrich Schneider, Dominik Enste, 2002, p.2), esto pone de manifiesto que
en el mundo digital tambin existe un mercado negro (Gdata, 2009), en el cual todo tiene
un precio y donde proliferan transacciones ilcitas como ventas de tarjetas de crditos,
envos de spam, bases de datos personales, ataques informticos entre otros. Tales
transacciones incluyen la venta de vulnerabilidades que se comercializan en dos formatos
distintos; el primero de ellos es mediante los denominados exploit pack( Paul Rubens,
2001), que son programas de hackeo automatizados y sencillos de usar, con los que se
puede tomar el control de un dispositivo computacional. Cada vez que se detecta una
vulnerabilidad o se publica alguna se agrega a este software para producir la infeccin
masiva de usuarios con el propsito de obtener principalmente datos bancarios, los cuales
posteriormente tambin son comercializados por medio del black market. Entre ms
vulnerabilidades se agregan al programa, mayor es el precio que se debe pagar por la
actualizacin y si la vulnerabilidad es desconocida tambin sumara valor a la actualizacin
de estos programas. Una segunda modalidad de comercializacin es la venta directa de la
vulnerabilidad, la cual se vende por medio de foros ilegales en la internet tradicional
como en la internet profunda o deep web. En este caso el vendedor anuncia el producto
con su respectiva vulnerabilidad y valor comercial, todo esto empleando medios que
permitan el anonimato de las partes involucradas.
Desde el punto de vista comercial y econmico el mercado de la vulnerabilidades tiene un
gran crecimiento en la regin de Europa Oriental, principalmente en Rusia, segn
Gunitskiy (2012) , profesor de estudios postsoviticos de la Universidad de Toronto, "El
nfasis del sistema educativo sovitico en las matemticas y la ciencia, combinado con el
colapso econmico post-comunista y la dbil industria privada, signific que hubiese
muchos ingenieros altamente capacitados pero pocos medios legtimos para que
desarrollasen sus habilidades", lo cual implica que el destino del 35% del dinero que se
produce por ataques cibernticos en el mundo es Rusia, lo que equivale a una cifra de entre
US$2.500 y US$3.700 millones (Mark Galeotti, 2013).

El White market de vulnerabilidades
De forma anloga al mercado negro, tambin existe un mercado al que se le puede dar el
nombre de White market o mercado tradicional, en donde el vendedor y comprador
emplean medios convencionales y legales para ejecutar la transaccin. Existen muchas
empresas que venden vulnerabilidades por diversos canales de ventas. Una de las
modalidades es la venta de software para realizar pruebas de penetracin. Como ejemplo,
la empresa Rapid7, con su producto Metasploit, adems de vender el soporte para el
programa, vende las nuevas vulnerabilidades publicadas o detectadas por medio de
actualizaciones diarias. Si bien la empresa no fija un valor por cada nueva vulnerabilidad
agregada, el cliente debe pagar un costo fijo que se calcula de manera anual. Estos
programas en trminos de funcionamiento son muy similares a los antivirus, por lo que si
no se encuentran debidamente actualizados, no cumplen con su finalidad y carecen de
eficacia. Otra modalidad es la venta directa de vulnerabilidades, una de las empresas que
emplea este canal de venta es Voupen (Robert Lemos, 2012), la cual por medio de crditos
permite a usuarios que puedan acceder directamente a vulnerabilidades, mtodos de
ataques, configuraciones y a todo lo relacionado con la explotacin de vulnerabilidades.
Finalmente, el canal mas pblico es aquel empleado por grandes empresas de software que
pagan recompensas por las vulnerabilidades detectadas en funcin de la complejidad e
impacto.

En trminos econmicos, los diversos canales de ventas tienen sus propios valores para las
vulnerabilidades de algunos productos (Andy Greenberg,2012), como se puede ver en la
siguiente grfica:

Tabla 1. Clasificacin de vulnerabilidades por valor en dlares americanos
ADOBE READER $5.000 - $30.000
MAC OSX $20.000 - $50.000
ANDROID $30.000 - $60.000
FLASH O JAVA BROWSER PLUG-INS $40.000 - $100.000
MICROSOFT WORD $50.000 - $100.000
WINDOWS $60.000 - $120.000
FIREFOX OR SAFARI $60.000 - $150.000
CHROME OR INTERNET EXPLORER $80.000 - $200.000
IOS $100.000 - $250.000

A pesar de que existen estos valores referenciales, el precio de una vulnerabilidad
difcilmente puede ser regulado debido a que estos mercados son transnacionales (Kelly
Jackson, 2013), adems que a pesar de ser mercados lcitos, los fines en los cuales son
empleadas las vulnerabilidades van por la delgada lnea de lo legal e ilegal.




Compradores de vulnerabilidades
Ya no es un secreto saber quienes son los principales compradores de vulnerabilidades en
el white market, con lo que es posible inferir que se trata de los mismos compradores del
black market; quienes son?, principalmente agencias de seguridad y espionaje en
diversos pases del orbe y cibercriminales. Las agencias de seguridad y espionajes son los
mejores clientes debido a que el contar vulnerabilidades (en particular vulnerabilidades
desconocidas) les permite obtener potenciales fuentes informacin para agregar a sus
sistemas y tambin como ciberarmas las cuales pueden ser empleadas con un costo
destructivo mayor que el de un arma convencional por un precio muy bajo.


Conclusiones
Las vulnerabilidades comercializadas en los diversos mercados permiten entender que
existe una economa asociada, la cual genera una gran cantidad de dinero para quienes
venden vulnerabilidades.
Entendiendo que existe un mercado negro y otro tradicional, ambos lucran con elementos
que en su finalidad estn asociados a actividades ilcitas o que no estn lo suficientemente
reguladas.
En otro enfoque, queda de manifiesto que las empresas fabricantes de software no
consideran los aspectos de seguridad en sus productos, por lo que asignan estas
responsabilidad a terceros, quienes actan como casa recompensas no asegurando que el
producto tenga una cantidad importante de otras vulnerabilidades.
Finalmente la economa de vulnerabilidades es una economa bastante acotada, en donde
los vendedores son pequeas empresas especializadas en el descubrimiento de
vulnerabilidades y sus clientes agencias de gobierno.


Referencias

Schneider F., Enste D. (2002). Ocultndose en las sombras: El crecimiento de la
economa subterrnea.
Recuperado de https://www.imf.org/external/pubs/ft/issues/issues30/esl/issue30s.pdf



Grupo Data Security. (2009). El mercado negro de Internet, una economa sumergida
donde todo tiene un precio.
Recuperado el 26 de Abril de 2014 de https://www.gdata.es/sobre-
gdata/pressecenter/comunicados/articulos/article/1348-el-mercado-negro-de-
internet.html

Rubens, P. (2011). Para ser hacker ya no hay que ser experto.
Recuperado el 26 de Abril de 2014 de
http://www.bbc.co.uk/mundo/noticias/2011/11/111125_hackers_paquetes_rusia_mr.sht
ml

Gunitskiy, V. (2012). Web Gang Operating in the Open
Recuperado el 26 de Abril de 2014 de
http://www.nytimes.com/2012/01/17/technology/koobface-gang-that-used-facebook-to-
spread-worm-operates-in-the-open.html?pagewanted=all&_r=0

Galeotti, M. (2013). Es Rusia un paraso para hackers?
Recuperado el 26 de Abril de 2014 de
http://www.bbc.co.uk/mundo/noticias/2013/08/130809_tecnologia_snowden_rusia_ha
ckers_paraiso_dp.shtml

Lemos, R. (2012). Private market growing for zero-day exploits and vulnerabilities
Recuperado el 26 de Abril de 2014 de
http://searchsecurity.techtarget.com/feature/Private-market-growing-for-zero-day-
exploits-and-vulnerabilities

Greenberg, A. (2012). Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And
Get Paid Six-Figure Fees). Recuperado el 26 de Abril de 2014 de
http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-
spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/

Jackson, K. (2013), Hacking The Zero-Day Vulnerability Market
Recuperado el 26 de Abril de 2014 de http://www.darkreading.com/vulnerabilities---
threats/hacking-the-zero-day-vulnerability-market/d/d-id/1141026?