No hay nada peor en el departamento de seguridad de cualquier empresa, que tener un zero-day. Antes que nada, definamos que es un zero-day.

El zero-day es una vulnerabilidad crítica en un sistema o programa, que ha sido explotada por primera vez, es decir, explotar algo que no se podía explotar o que no se sabía que se podía explotar.

De ahí surge el nombre de zero-day, o día cero, ya que es una vulnerabilidad que los mismos fabricantes de los sistemas desconocen, y cuando sucede un ataque por este vector, son muy pocas las opciones que tenemos para poder contener una amenaza así, ya que es algo que no se había visto.

En términos sencillos, es como si en una población de repente apareciera una persona enferma con síntomas nunca antes vistos, ¿Cómo haríamos para curarla? La respuesta es que en las mayorías de los casos no se puede, lo único que podemos hacer es tratar de llevar un control lo más detallado posible, hasta que alguien realice una cura, lo cual puede tardar 1 día, 1 mes, 1 año, y mientras somos susceptibles a contagiarnos.

Con la cantidad astronómica que vemos de malware nuevo todos los días, los sistemas de seguridad no pueden seguir al paso de crear nuevas firmas para detener todos los ataques nuevos que salen, por eso crecen los ataques zero-day.

>>>REDUCIMOS RIESGOS DIGITALES, CONOCE NUESTROS PRODUCTOS<<<

Pero…¿Por qué es un negocio un zero-day? Hay algunas empresas dedicadas a comprar estas vulnerabilidades, entre ellas la más destacada es Zerodium, en la cual compra estas vulnerabilidades a la gente para sus propios usos.

¿Para qué Zerodium quiere estás vulnerabilidades?, ¿de dónde saca el dinero para pagarlo?, se dice que Zerodium es una empresa Grey Hat, esto quiere decir que al momento que compran una vulnerabilidad a alguien, puede ser que la revendan al mismo fabricante para que hagan el parche correspondiente, puede ser que la vendan a una institución de gobierno para realizar ciberespionaje o puede ser que la vendan a un grupo extremista de hacking, básicamente quien pague más. Se presume que dentro de los clientes de Zerodium están el FBI y la CIA del Gobierno de EU, Hacking Group y Snake-eater, grupos importantes de hackers, entre otros.

Otra forma notable de ganar dinero, son los clásicos “Bug-Hunt” en los cuáles los fabricantes pagan a las personas por encontrar vulnerabilidades, el 99% de las vulnerabilidades son de Zero-day, ya que los mismos fabricantes evalúan la seguridad de sus softwares antes de lanzarlos al mercado. El año pasado Dropbox pagó una cantidad de $100,000usd a un programador por encontrar una falla en su código, Facebook ha pagado millones también a personas que han encontrado estas vulnerabilidades.

Cómo mencione antes, es todo un negocio este tema de zero-days y Bug Hunt, hay gente que se dedica de tiempo completo a estos temas, y con la cantidad que pagan, les es suficientemente rentable encontrar 1 o 2 bugs al año y con eso vivir tranquilamente su vida.

 

Escrito por Juan Pablo Cerón, Ingeniero de Segurida

>>>CONSULTA A NUESTROS EXPERTOS EN SEGURIDAD INFORMÁTICA ¡CONTÁCTANOS!<<<