Herramientas que permiten Los piratas informáticos del gobierno para acceder a iPhones y teléfonos Android, software popular como los navegadores Chrome y Safari, y aplicaciones de chat como WhatsApp e iMessage, valen ahora millones de dólares, y su precio se ha multiplicado en los últimos años a medida que estos productos se vuelven más difíciles de acceder. cortar a tajos.
El lunes, la startup Crowdfense publicó su lista de precios actualizada para estas herramientas de piratería, que comúnmente se conocen como “día cero”, porque se basan en vulnerabilidades sin parches en software que son desconocidas para los creadores de ese software. Empresas como Crowdfense y uno de sus competidores, Zerodium, afirman adquirir estos días cero con el objetivo de revenderlos a otras organizaciones, generalmente agencias gubernamentales o contratistas gubernamentales, que afirman que necesitan herramientas de piratería para rastrear o espiar a los delincuentes.
Crowdfense ahora ofrece entre $ 5 y $ 7 millones por días cero para ingresar a iPhones, hasta $ 5 millones por días cero para ingresar a teléfonos Android, hasta $ 3 millones y $ 3,5 millones para Chrome y Safari de día cero respectivamente, y $ 3 millones. a 5 millones de dólares para los días cero de WhatsApp e iMessage.
En su lista de precios anterior, publicada en 2019, los pagos más altos que ofrecía Crowdfense eran de 3 millones de dólares para los días cero de Android e iOS.
El aumento de los precios se produce cuando empresas como Apple, Google y Microsoft están dificultando la piratería de sus dispositivos y aplicaciones, lo que significa que sus usuarios están mejor protegidos.
“Debería ser más difícil año tras año explotar cualquier software que estemos usando, cualesquiera que sean los dispositivos que estemos usando”, dijo Dustin Childs, jefe de concientización sobre amenazas en Trend Micro ZDI. A diferencia de CrowdFense y Zerodium, ZDI paga a los investigadores para que adquieran días cero y luego los informa a las empresas afectadas con el objetivo de solucionar las vulnerabilidades.
“A medida que los equipos de inteligencia de amenazas como el de Google descubren más vulnerabilidades de día cero y las protecciones de la plataforma continúan mejorando, el tiempo y el esfuerzo requeridos por los atacantes aumentan, lo que resulta en un aumento en el costo de sus hallazgos”, dijo Shane Huntley, jefe de Grupo de análisis de amenazas de Google, que rastrea a los piratas informáticos y el uso de días cero.
En un informe del mes pasado, Google dijo que vio a los piratas informáticos utilizar 97 vulnerabilidades de día cero en estado salvaje en 2023. Los proveedores de software espía, que a menudo trabajan con corredores de día cero, fueron responsables del 75 por ciento de los días cero dirigidos a productos de Google y Android. según la empresa.
Las personas dentro y alrededor de la industria del día cero coinciden en que la tarea de explotar las vulnerabilidades es cada vez más difícil.
David Manouchehri, un analista de seguridad con conocimiento del mercado de día cero, dijo que “objetivos difíciles como el Pixel de Google y el iPhone se han vuelto más difíciles de piratear cada año. Espero que el costo siga aumentando significativamente con el tiempo”.
“Las mitigaciones que los proveedores están implementando están funcionando y están haciendo que todo el comercio se vuelva mucho más complicado y requiera mucho más tiempo, y esto claramente se refleja en el precio”, dijo Paolo Stagno, director de investigación de Crowdfense. TecnologíaCrunch.
Contáctenos
¿Conoce más corredores de día cero? ¿O sobre los proveedores de software espía? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Stagno explicó que en 2015 o 2016 solo un investigador pudo encontrar uno o más días cero y desarrollarlos en un exploit completo dirigido a iPhones o Android. Ahora, dijo, “esto es casi imposible”, ya que requiere un equipo de varios investigadores, lo que también provoca que los precios suban.
Crowdfense ofrece actualmente los precios más altos conocidos públicamente hasta la fecha fuera de Rusia, donde una empresa llamada Operación Cero anunció el año pasado que estaba dispuesta a pagar hasta 20 millones de dólares por herramientas para piratear iPhones y dispositivos Android. Sin embargo, los precios en Rusia pueden estar inflados debido a la guerra en Ucrania y las sanciones posteriores, que podrían desalentar o impedir directamente que la gente trate con una empresa rusa.
Fuera de la vista del público, es posible que los gobiernos y las empresas estén pagando precios aún más altos.
“Los precios que Crowdfense ofrece a los investigadores para Chrome individuales [Remote Code Execution] y [Sandbox Escape] Los exploits están por debajo de la tasa de mercado de lo que he visto en la industria del día cero”, dijo Manouchehri, quien anteriormente trabajó en Linchpin Labs, una startup que se centró en desarrollar y vender días cero. Linchpin Labs fue adquirida por el contratista de defensa estadounidense L3 Technologies (ahora conocido como L3Harris) en 2018.
Alfonso de Gregorio, fundador de Zeronomicon, una startup con sede en Italia que adquiere días cero, estuvo de acuerdo y le dijo a TechCrunch que los precios “ciertamente” podrían ser más altos.
Los días cero se han utilizado en operaciones policiales aprobadas por los tribunales. En 2016, el FBI utilizó un día cero proporcionado por una startup llamada Azimuth para ingresar al iPhone de uno de los tiradores que mataron a 14 personas en San Bernardino, según The Washington Post. En 2020, Placa base reveló que el FBI, con la ayuda de Facebook y una empresa externa anónima, utilizó un día cero para localizar a un hombre que luego fue condenado por acosar y extorsionar a niñas en línea.
También ha habido varios casos en los que supuestamente se han utilizado programas de día cero y software espía para atacar a disidentes de derechos humanos y periodistas en Etiopía, Marruecos, Arabia Saudita y los Emiratos Árabes Unidos, entre otros países con malos antecedentes en materia de derechos humanos. También ha habido casos similares de presuntos abusos en países democráticos como Grecia, México, Polonia y España. (Ni Crowdfense, Zerodium ni Zeronomicon han sido acusados alguna vez de estar involucrados en casos similares).
Los corredores de día cero, así como las empresas de software espía como NSO Group y Hacking Team, a menudo han sido criticados por vender sus productos a gobiernos desagradables. En respuesta, algunos de ellos ahora se comprometen a respetar los controles de exportación en un esfuerzo por limitar posibles abusos por parte de sus clientes.
Stagno dijo que Crowdfense sigue los embargos y sanciones impuestos por Estados Unidos, incluso si la empresa tiene su sede en los Emiratos Árabes Unidos. Por ejemplo, Stagno dijo que la empresa no vendería a Afganistán, Bielorrusia, Cuba, Irán, Irak, Corea del Norte, Rusia, Sudán del Sur, Sudán y Siria, todos ellos incluidos en las listas de sanciones de Estados Unidos.
“Estamos al tanto de todo lo que hace Estados Unidos”, dijo Stagno, y agregó que si un cliente existente aparece en la lista de sanciones de Estados Unidos, Crowdfense lo abandonaría. “Quedan excluidas todas las empresas y gobiernos sancionados directamente por Estados Unidos”.
Al menos una empresa, el consorcio de software espía Intellexa, está en la lista de bloqueo particular de Crowdfense.
“No puedo decirles si ha sido un cliente nuestro y si ha dejado de serlo”, dijo Stagno. “Sin embargo, en lo que a mí respecta, en este momento Intellexa no podría ser cliente nuestro”.
En marzo, el gobierno de Estados Unidos anunció sanciones contra el fundador de Intellexa, Tal Dilian, así como contra un socio comercial suyo, la primera vez que el gobierno impuso sanciones a personas involucradas en la industria del software espía. Intellexa y su empresa asociada Cytrox también fueron sancionadas por Estados Unidos, lo que dificulta que las empresas, así como las personas que la dirigen, sigan haciendo negocios.
Estas sanciones han causado preocupación en la industria del software espía, como informó TechCrunch.
Se ha informado que el software espía de Intellexa se ha utilizado contra el congresista estadounidense Michael McCaul, el senador estadounidense John Hoeven y la presidenta del Parlamento Europeo, Roberta Metsola, entre otros.
De Gregorio, el fundador de Zeronomicon, se negó a decir a quién le vende la empresa. En su sitio, la empresa ha publicado un código de ética empresarial, que incluye examinar a los clientes con el objetivo de evitar hacer negocios “con entidades conocidas por abusar de los derechos humanos” y respetar los controles de exportación.