El mercado gris donde la CIA compra armas de ciberespionaje
Una de las formas que tiene la agencia de obtener su arsenal, seg¨²n se desprende de los documentos de WikiLeaks, es un mercado de compra-venta de 'malware'
Los documentos revelados por WikiLeaks con Vault 7 indican que la CIA ha obtenido sus armas para el ciberespionaje por tres v¨ªas. Algunas vulnerabilidades las han desarrollado sus propios t¨¦cnicos, otras forman parte del conocimiento que comparten con agencias de inteligencia, como la NSA ¡ªcuya vigilancia masiva descubri¨® Edward Snowden¡ª, el FBI o el GCHQ brit¨¢nico. Y, como tercer camino, la CIA ha comprado malware a empresas privadas.
El resultado fue la cosecha de un arsenal de virus, troyanos y sistemas de control remoto para penetrar dispositivos e intervenir comunicaciones. El malware pod¨ªa atacar de m¨²ltiples formas a los smartphone con Android, al iPhone y al iPad, a ordenadores con Windows y Mac OS e incluso a las televisiones inteligentes.
La filtraci¨®n de WikiLeaks incluye tablas donde se cataloga el malware por nombre, tipo y otras caracter¨ªsticas. Una de ellas es c¨®mo se encontr¨®. En este apartado, en uno de los 8.761 documentos filtrados destaca un nombre que no es la NSA, el FBI ni ning¨²n organismo de inteligencia conocido: Baitshop. Y va acompa?ado de la palabra purchase (compra). En otra parte de la tabla se especifica que otra vulnerabilidad ¡°lleg¨® por compra¡±.
El mercado gris del 'malware'
Existen empresas que se dedican a comercializar con vulnerabilidades. Las compran a los investigadores de seguridad que las descubren y luego las revenden a otras entidades, en vez de informar a las compa?¨ªas afectadas, como podr¨ªan ser Google, Apple o Microsoft. Baitshop podr¨ªa referirse a una de estas empresas y formar¨ªa parte de un mercado gris del malware.
No es el mercado negro, ese mundo subterr¨¢neo asociado a la llamada Deep Web, cuyo nombre resuena habitualmente en los medios como sin¨®nimo de los bajos fondos de Internet. No es necesario que la CIA se vaya tan lejos. El mercado gris es un controvertido limbo en el mundo de la ciberseguridad, un espacio con sombras pero legal. ¡°En el mercado negro no hay ninguna contemplaci¨®n. [Las vulnerabilidades] se venden al mejor postor y ya est¨¢. En el mercado gris, dependiendo de a qui¨¦n, se puede restringir la venta¡±, explica Josep Albors, director de laboratorio en Espa?a de la firma de seguridad inform¨¢tica ESET.
El experto en ciberseguridad de Deloitte Deepak Daswani califica a estas empresas de ¡°mediadoras entre el investigador de seguridad y el que quiera comprar la vulnerabilidad¡±. Son compa?¨ªas que est¨¢n en Internet. Con una b¨²squeda sencilla se pueden encontrar sus p¨¢ginas web, donde exhiben sus tablas de precios. No se esconden, est¨¢n constituidas legalmente y tienen una actividad declarada. ¡°Es un mercado que existe y que es l¨ªcito¡±, se?ala Daswani. ¡°Al final los clientes son gobiernos y agencias de inteligencia que tienen el poder y los recursos econ¨®micos para utilizar esto¡±
El intercambio comercial es sencillo. Un investigador de seguridad descubre una vulnerabilidad. Acude a una de estas empresas y, si el precio le conviene, se la vende. Despu¨¦s la CIA acudir¨ªa a esta empresa y preguntar¨ªa por su cat¨¢logo de malware. Escoger¨ªa el que quisiera y pagar¨ªa el precio estipulado.
Tras la pista de 'Baitshop'
Algunas empresas que operan en el mercado gris son Zerodium (heredera de Vupen, una de las m¨¢s conocidas del mundillo), Exodus Intelligence, Netragard o el conocido intermediario The Grugq, cuyo papel se puede equiparar al de un agente literario, que busca editor para la novela de su cliente; en su caso busca comprador para vulnerabilidades que desarrollan otros y, cuando lo encuentra, se queda con una comisi¨®n del 15%.
Pero Baitshop no es un nombre conocido. En Internet no hay ni rastro suyo y ni siquiera los l¨ªderes del mercado gris saben qui¨¦n es. Chouki Bekrar, fundador de Vupen y Zerodium, especula en Twitter con que puede ser un nombre en clave.
Baitshop is a codename, not a company name, maybe... #vault7
— Chaouki Bekrar (@cBekrar) March 8, 2017
En realidad podr¨ªa ser cualquiera de las anteriores empresas. Aunque no se pueden descartar grandes compa?¨ªas que tambi¨¦n hacen este trabajo, como Northrop Grumman o Raytheon, ambos contratistas del gobierno de Estados Unidos.
Los compradores del malware pueden ser entidades gubernamentales u otras empresas. ?Tambi¨¦n cibercriminales? Hay ciertos l¨ªmites a la hora de vender, pero la frontera es aceitosa. ¡°El problema es c¨®mo identificas, porque un cibercriminal se puede hacer pasar por una empresa leg¨ªtima¡±, comenta Albors.
¡°Digamos que el problema no est¨¢ en la legalidad sino en la ¨¦tica¡±, Albors incide en que los agentes del mercado gris no est¨¢n por la labor de concienciar a las empresas como Google y Apple para que solucionen los fallos encontrados.
Daswani coincide en la reflexi¨®n. ¡°Esto siempre se ha puesto en entredicho. Hay diferentes posturas en el mundo de la seguridad, pero por supuesto que es cuestionable¡±, y va m¨¢s all¨¢. ¡°?Qu¨¦ diferencia hay con gente que vende armas? Pues podr¨ªa ser equivalente¡±. Despu¨¦s de todo, las vulnerabilidades no dejan de ser las armas esenciales para el ciberespionaje.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
