Herramientas que permiten a hackers gubernamentales infiltrarse en iPhones y teléfonos Android, software popular como los navegadores Chrome y Safari, y aplicaciones de chat como WhatsApp e iMessage, ahora valen millones de dólares, y su precio se ha multiplicado en los últimos años a medida que estos productos se vuelven más difíciles de hackear.
El lunes, la startup Crowdfense publicó su lista de precios actualizada para estas herramientas de hacking, comúnmente conocidas como «cero días», porque se basan en vulnerabilidades no parcheadas en el software que son desconocidas para los fabricantes de ese software. Empresas como Crowdfense y uno de sus competidores, Zerodium, afirman adquirir estos cero días con el objetivo de revenderlos a otras organizaciones, generalmente agencias gubernamentales o contratistas gubernamentales, que afirman necesitan las herramientas de hacking para rastrear o espiar a criminales.
Crowdfense ofrece actualmente entre $5 y $7 millones por cero días para infiltrarse en iPhones, hasta $5 millones por cero días para entrar en teléfonos Android, hasta $3 millones y $3.5 millones por cero días para Chrome y Safari respectivamente, y $3 a $5 millones por cero días de WhatsApp e iMessage.
En su lista de precios anterior, publicada en 2019, los pagos más altos que Crowdfense ofrecía eran de $3 millones por cero días de Android e iOS.
El aumento en los precios se produce a medida que empresas como Apple, Google y Microsoft están dificultando el hackeo de sus dispositivos y aplicaciones, lo que significa que sus usuarios están mejor protegidos.
“Debería ser más difícil año tras año explotar cualquier software que estemos usando, cualquier dispositivo que estemos usando”, dijo Dustin Childs, jefe de conciencia de amenazas en Trend Micro ZDI. A diferencia de Crowdfense y Zerodium, ZDI paga a los investigadores para adquirir cero días, luego los reporta a las empresas afectadas con el objetivo de que se corrijan las vulnerabilidades.
“A medida que los equipos de inteligencia de amenazas como Google descubren más vulnerabilidades de cero día y las protecciones de la plataforma continúan mejorando, el tiempo y esfuerzo requeridos por los atacantes aumenta, lo que resulta en un aumento en el costo de sus hallazgos”, dijo Shane Huntley, jefe del Grupo de Análisis de Amenazas de Google, que rastrea a los hackers y el uso de cero días.
En un informe el mes pasado, Google dijo que vio a hackers utilizar 97 vulnerabilidades de cero día en la naturaleza en 2023. Los proveedores de spyware, que a menudo trabajan con intermediarios de cero días, fueron responsables del 75 por ciento de los cero días dirigidos a los productos de Google y Android, según la empresa.
Las personas dentro y alrededor de la industria de los cero días coinciden en que la tarea de explotar vulnerabilidades se está volviendo más difícil.
David Manouchehri, analista de seguridad con conocimiento del mercado de los cero días, dijo que “objetivos difíciles como el Pixel de Google y el iPhone han estado volviéndose más difíciles de hackear cada año. Espero que el costo siga aumentando significativamente con el tiempo.”
“Las mitigaciones que los proveedores están implementando están funcionando, y esto está llevando a que todo el comercio se vuelva mucho más complicado, mucho más tiempo consumidor, y esto se refleja claramente en el precio”, dijo Paolo Stagno, director de investigación de Crowdfense, a TechCrunch.
Stagno explicó que en 2015 o 2016 era posible que solo un investigador encontrara uno o más cero días y los desarrollara en un exploit completo dirigido a iPhones o Androids. Ahora, dijo, “esto es casi imposible”, ya que requiere un equipo de varios investigadores, lo que también provoca que los precios aumenten.
Crowdfense ofrece actualmente los precios más altos conocidos públicamente hasta la fecha fuera de Rusia, donde una empresa llamada Operation Zero anunció el año pasado que estaba dispuesta a pagar hasta $20 millones por herramientas para hackear iPhones y dispositivos Android. Sin embargo, los precios en Rusia pueden estar inflados debido a la guerra en Ucrania y las sanciones posteriores, que podrían desalentar o incluso impedir que las personas hagan negocios con una empresa rusa.
Fuera de la vista pública, es posible que los gobiernos y las empresas estén pagando precios aún más altos.
«Los precios que Crowdfense ofrece a los investigadores por exploits individuales de Chrome (Ejecución remota de código) y (Escape de sandbox) están por debajo de la tasa de mercado según lo que he visto en la industria de cero días», dijo Manouchehri, quien trabajó previamente en Linchpin Labs, una startup que se centró en desarrollar y vender cero días. Linchpin Labs fue adquirida por el contratista de defensa de EE. UU. L3 Technologies (ahora conocido como L3Harris) en 2018.
Alfonso de Gregorio, fundador de Zeronomicon, una startup con sede en Italia que adquiere cero días, estuvo de acuerdo, diciendo a TechCrunch que los precios podrían «ciertamente» ser más altos.
Se ha utilizado cero días en operaciones policiales aprobadas por la corte. En 2016, el FBI utilizó un cero día proporcionado por una startup llamada Azimuth para infiltrarse en el iPhone de uno de los tiradores que mataron a 14 personas en San Bernardino, según The Washington Post. En 2020, Motherboard reveló que el FBI, con la ayuda de Facebook y una empresa de terceros sin nombre, utilizó un cero día para rastrear a un hombre que luego fue condenado por hostigar y extorsionar a jóvenes niñas en línea.
También ha habido varios casos en los que cero días y spyware supuestamente se han utilizado para atacar a disidentes de derechos humanos y periodistas en Etiopía, Marruecos, Arabia Saudita y los Emiratos Árabes Unidos, entre otros países con graves antecedentes de derechos humanos. También ha habido casos similares de presuntos abusos en países democráticos como Grecia, México, Polonia y España. (Ninguna de las empresas Crowdfense, Zerodium o Zeronomicon ha sido acusada de estar involucrada en casos similares).
Los intermediarios de cero días, así como las empresas de spyware como NSO Group y Hacking Team, a menudo han sido criticados por vender sus productos a gobiernos poco éticos. En respuesta, algunos de ellos ahora se comprometen a respetar los controles de exportación en un esfuerzo por limitar posibles abusos de sus clientes.
Stagno dijo que Crowdfense sigue los embargos y sanciones impuestas por Estados Unidos, incluso si la empresa está basada en los Emiratos Árabes Unidos. Por ejemplo, Stagno dijo que la empresa no vendería a Afganistán, Bielorrusia, Cuba, Irán, Irak, Corea del Norte, Rusia, Sudán del Sur, Sudán y Siria, todos en las listas de sanciones de EE. UU.
«Todo lo que hace Estados Unidos, estamos al tanto», dijo Stagno, agregando que si un cliente existente aparece en la lista de sanciones de EE. UU., Crowdfense lo abandonaría. «Todas las empresas y gobiernos directamente sancionados por Estados Unidos están excluidos».
Al menos una empresa, el consorcio de spyware Intellexa, está en la lista negra particular de Crowdfense.
“No puedo decirte si ha sido cliente nuestro y si ha dejado de serlo”, dijo Stagno. “Sin embargo, en este momento, Intellexa no podría ser un cliente nuestro”.
En marzo, el gobierno de EE. UU. anunció sanciones contra el fundador de Intellexa, Tal Dilian, así como contra un socio comercial suyo, la primera vez que el gobierno impuso sanciones a personas involucradas en la industria del spyware. Intellexa y su empresa asociada Cytrox también fueron sancionadas por los EE. UU., lo que dificulta que las empresas, así como las personas que las dirigen, continúen haciendo negocios.
Estas sanciones han causado preocupación en la industria del spyware.
El spyware de Intellexa se ha informado que se ha utilizado contra el congresista estadounidense Michael McCaul, el senador estadounidense John Hoeven y la presidenta del Parlamento Europeo, Roberta Metsola, entre otros.
De Gregorio, el fundador de Zeronomicon, se negó a decir a quién le vende la empresa. En su sitio, la empresa ha publicado un código de ética comercial, que incluye la selección de clientes con el objetivo de evitar hacer negocios “con entidades conocidas por abusar de los derechos humanos” y respetar los controles de exportación.