As¨ª se compran y venden las ¡®ciberarmas¡¯

Suelen trabajar en la sombra, al abrigo de las noticias que se publican en medios y redes sociales, pero a veces el nombre de alguna de estas compa?¨ªas salta a la luz p¨²blica. Acaba de ocurrirle a NSO Group, a quien Facebook acus¨® recientemente de estar detr¨¢s de un fallo en WhatsApp que permit¨ªa espiar a los usuarios solo con hacerles una llamada perdida. La compa?¨ªa se?alada lo neg¨®, como es habitual. Pero su caso ha sacado a la luz el oscuro mundo de las ciberarmas, un negocio millonario en el que participan empresas, Gobiernos y hackers.

Este tipo de empresas mantienen un perfil bajo. Desarrollan herramientas para hackear aplicaciones, m¨®viles y sistemas operativos. Pero se mueven en un terreno legal. Gobiernos, fuerzas de seguridad del Estado y agencias de inteligencia les compran ciberarmas

?Qu¨¦ Gobiernos? En Zerodium tienen una opini¨®n versada sobre el tema. Esta empresa desarrolla sus propias ciberarmas desde 2015, aunque se puede considerar heredera de la francesa Vupen, de los mismos fundadores y que empez¨® en el negocio en 2004. El CEO de Zerodium, Chaouki Bekrar, es taxativo: "Si cualquier representante de un pa¨ªs desarrollado niega tener capacidades ofensivas, ¨¦l o ella est¨¢ mintiendo".

Pero el nombre de los clientes no se concreta. A no ser que haya una filtraci¨®n, como le ocurri¨® a la italiana Hacking Team, a quien le sustrajeron 400 gigabytes de informaci¨®n confidencial. Entre los documentos figuraban compradores como el FBI, la DEA, Gobiernos de varios pa¨ªses y tambi¨¦n, en Espa?a, el CNI y la Polic¨ªa Nacional.

¡°Si cualquier representante de un pa¨ªs desarrollado niega tener capacidades ofensivas, est¨¢ mintiendo¡±

El discurso de Zerodium puede pasar por el de cualquier empresa de software. "Desarrollamos y compramos exploits [programas malicioso] para las plataformas, aplicaciones y dispositivos m¨¢s populares. Damos soporte a Windows, Linux, Mac, iOS, Android y tambi¨¦n a cualquier tipo de servidor o aplicaci¨®n de escritorio", comenta Bekrar en declaraciones a EL PA?S a trav¨¦s del correo electr¨®nico. Llama la atenci¨®n lo natural de la expresi¨®n "dar soporte a Windows", cuando sus productos sirven para atacar al sistema operativo.

"Nuestros clientes son Gobiernos occidentales en Europa y Norteam¨¦rica y usan nuestras capacidades para su seguridad nacional, solo para luchar contra el terrorismo y el crimen organizado o conducir operaciones de inteligencia, como siempre han hecho desde antes de Internet", matiza Bekrar.

Zerodium tambi¨¦n compra vulnerabilidades a terceros para revenderlas. Yago Hansen, un hacker espa?ol con experiencia en el sector, explica c¨®mo funciona el intercambio: "T¨² le cuentas la vulnerabilidad a estas empresas y ellas la valoran seg¨²n la capacidad de explotaci¨®n que tenga". Cuando la empresa adquiere la vulnerabilidad la convierte en un exploit, un programa malicioso para aprovechar el fallo descubierto, y la incorpora a su oferta comercial.

"Las que mejor se pagan son las de smartphones, porque son las que m¨¢s les interesan a Gobiernos y servicios de inteligencia", explica Hansen. "La informaci¨®n que almacenas en un smartphone, hoy en d¨ªa, es mayor que la que almacenas en tu ordenador personal". Tambi¨¦n las vulnerabilidades de WhatsApp o Telegram se encuentran entre las m¨¢s valoradas, as¨ª como las de ejecuci¨®n remota de c¨®digo. Estas ¨²ltimas son capaces de introducir un troyano de forma remota, a trav¨¦s de una llamada, por ejemplo.

Por estas herramientas se pagan cantidades importantes. Desde luego, mucho m¨¢s de lo que pagan las empresas a quienes les ha descubierto el fallo. Hansen toma como referencia la vulnerabilidad de WhatsApp, sobre la que Facebook se?al¨® a NSO Group. En una estimaci¨®n a vuelo de p¨¢jaro, "en el mejor de los casos quiz¨¢ te puedan dar 10.000 euros por una vulnerabilidad como esa [en Facebook], mientras que ellos te podr¨ªan dar m¨ªnimo 100.000 euros".

Puede que incluso haya m¨¢s dinero. Hace unos meses, Zerodium anunci¨® que buscaba vulnerabilidades en WhatsApp, iMessage o para SMS. Estaba dispuesta a pagar hasta un mill¨®n de d¨®lares (893.022 euros) por un fallo de este tipo. Por una vulnerabilidad que permitiera hacer jailbreak [conseguir acceso] al iPhone ofrec¨ªa la friolera de dos millones de d¨®lares?(1.786.044 euros).

Vigilar a los vigilantes

La joya de esta industria son las vulnerabilidades de d¨ªa cero o zero-day. Consisten en un fallo que no se conoce p¨²blicamente. Y mientras sea as¨ª, los responsables ¡ªdel sistema operativo, de la aplicaci¨®n¡ª no las corrigen. Son productos perecederos, porque al cabo de unos meses, o a lo sumo alg¨²n a?o, se acaban descubriendo.

Hansen condena las pr¨¢cticas masivas, como el espionaje indiscriminado de la NSA que sac¨® a la luz Edward Snowden. Defiende que estos ataques se dirigen normalmente contra criminales y terroristas, aunque reconoce que siempre existe el riesgo de que las vulnerabilidades sirvan para controlar a activistas o grupos pol¨ªticos. En M¨¦xico, un programa desarrollado por el NSO Group se destin¨® a vigilar a periodistas, activistas y pol¨ªticos de la oposici¨®n.

Tambi¨¦n preocupa que estas ciberarmas caigan en malas manos, si bien Hansen enfatiza que las empresas que se dedican a este negocio est¨¢n vigiladas: "Los propios Gobiernos que les compran se encargan de vigilar a qui¨¦n est¨¢n vendiendo. Es muy parecido al mercado de armas. De hecho, la licencia que necesita este tipo de compa?¨ªas es la misma que la de venta de armas. Es material de doble uso (civil y militar)".

Hansen sabe de lo que habla. Tuvo que pedir esta licencia en Espa?a porque, durante algunos a?os, tuvo una empresa que desarrollaba productos de interceptaci¨®n de comunicaciones. Exportaban a una corporaci¨®n israel¨ª: "Sab¨ªamos que est¨¢bamos vigilados por todos lados".

Los fallos que mejor se pagan son los de los ¡®smartphones¡¯

Aunque a primera vista existen diferencias con la industria armament¨ªstica tradicional, F¨¦lix Arteaga, investigador en seguridad del Real Instituto Elcano, explica que la venta de armas es una industria muy gubernamentalizada, donde unas grandes compa?¨ªas sirven a los Estados. "En el mercado de la ciberseguridad no est¨¢ tan claro. Es muy dif¨ªcil monitorizar qu¨¦ se hace con esasciberarmas aparte de venderlas a los Estados", dice este experto.

"Antes solo estaban las grandes empresas privadas que fabricaban armamento", indica Arteaga. "Ahora hay todo tipo de empresas, como consultoras, que prestan servicios de ciberseguridad, hacen an¨¢lisis de riesgo, desarrollan tecnolog¨ªas de protecci¨®n, de ataque. Esto tiene un valor de mercado para los Estados", a?ade.

A nivel geopol¨ªtico, el comercio de estas herramientas de hacking sigue la estructura de los bloques internacionales. ¡°En el momento que la tecnolog¨ªa es objeto de confrontaci¨®n se busca un bloqueo, como el que Estados Unidos quiere imponer ahora a la transferencia de tecnolog¨ªas sensibles hacia otros pa¨ªses. Y el ¨¢mbito de la ciberseguridad es de los m¨¢s sensibles¡±, detalla Arteaga.

Estados Unidos y Europa son un bloque. Rusia y China forman cada uno el suyo, mientras Corea del Norte es otro. Obtienen ciberarmas desarroll¨¢ndolas internamente o compr¨¢ndolas a las empresas privadas, que se limitan a vender a uno solo de los bloques. ¡°Poco a poco lo que se pide es que esto se acabe regulando, igual que se regul¨®, aunque con limitaciones, el comercio de armas¡±, reflexiona Arteaga. ¡°Lo que pasa es que a ninguno de los grandes pa¨ªses que tiene esta capacidad ofensiva le interesa una regulaci¨®n¡±.