Comparte:
Ciberseguridad
20 de marzo de 2015

El marketing de las vulnerabilidades

El marketing de las vulnerabilidades

El marketing de las vulnerabilidades

Escrito por , 20/03/2015

En los últimos años nos hemos beneficiado de la evolución vertiginosa de la tecnología. Pero, del mismo modo que nos ha ayudado a ser más ágiles y eficaces personal y laboralmente, ha permitido a cibercriminales aumentar y diversificar el espectro de objetivos.

Los números presentados por ESET son abrumadores: el incremento de Amenazas Persistentes Avanzadas (APT) prácticamente duplica la ley de Moore año tras año, y alcanzó las 53 APT en 2014. Dentro de las corporaciones, Check Point nos avisa:

  • Cada cuarenta y nueve minutos se envía información sensible fuera de la organización.
  • Cada diez minutos se descarga malware.
  • Cada nueve minutos se utilizan aplicaciones web peligrosas.
  • Cada un minuto se accede a una web maliciosa.

Queda patente que el negocio del malware cuenta con un retorno de inversión, ya que permite desarrollar 158 nuevas muestras de malware por minuto y buscar nuevas vulnerabilidades, que van al acecho en números. Sólo en 2014 se creó el 34 por ciento del malware de la historia.

Durante el pasado año, vulnerabilidades como Heartbleed, Shell Shock, la caída del SSL v3 con Poodle o Ransomware, han sido los principales dolores de cabeza para los responsables de seguridad en las corporaciones.

Pero esto es sólo una pequeña porción del gran pastel. Podemos ver información detallada de las casi 8.000 vulnerabilidades publicadas en 2014, y fue Adobe la que tuvo una media ponderada de criticidad más elevada (9/10). Cada una de las vulnerabilidades es una oportunidad para ganar dinero: a mayor criticidad, mayor recompensa económica.

Las grandes corporaciones ofrecen sumas, nada despreciables, a aquéllos que informen de vulnerabilidades en sus aplicaciones. Google pagó 150.000 dólares a George Hotz por desmantelar la defensa del sistema operativo Google Chrome.

Pero no se queda ahí la cosa, y las grandes empresas disponen de concursos oficiales en los que se recompensa económicamente el reporte de agujeros en sus aplicaciones. El importe varía en función de la compañía. Por ejemplo, Facebook pago 1,3 millones de dólares en 2014, con un incremento en el número de emisiones del 16 por ciento respecto al año anterior . Google cuenta con Pwnium, que recientemente ha pasado a ser un concurso anual de detección de bugs en su navegador Chrome . Twitter ofrece un mínimo de 140 dólares, Pinterest entre 25 y 200 dólares y Adobe, que ha creado el programa hace poco, permite aumentar la puntuación de reputación en HackerOne, sin gratificación económica.

Hasta aquí tenemos una forma de lucrarnos gracias a la investigación en el mundo de las vulnerabilidades pero ¿las empresas también juegan?

Muchas cuentan con grupos de investigación dedicados a la búsqueda de vulnerabilidades en aplicaciones de terceros. Una vez detectadas, este grupo reporta a la empresa propietaria de la aplicación el problema para que pueda publicar un parche y conseguir una solución más segura y robusta. Pasado un período de tiempo determinado, el equipo investigador hace públicas las vulnerabilidades encontradas, aunque no hayan sido parcheadas. Este margen de maniobra que se otorga al desarrollador varía en función de la empresa: Google ofrece 90 días, la iniciativa Zero day de HP tiene una política de 120 días, mientras que la del CERT Coordination Center en la universidad Carnegie Mellor es de 45 días.

Y es que está claro que la inversión en un grupo especialista debe tener un retorno, que  no es claramente cuantificable, del mismo modo que no lo es un anuncio en televisión, pero la publicación de estas vulnerabilidades se vuelve viral en la red entre las comunidades especializadas y proporcionan una publicidad enorme.

Es un arma de doble filo porque ¿qué pasaría si dedico esfuerzos en publicar vulnerabilidades de mis oponentes? ¿Conseguiría fortalecer la imagen y mejorar el posicionamiento?

Como informa www.securityweek.com, Google generó polémica a finales de 2014 y principios de 2015 debido a su rigidez en la publicación de los fallos de seguridad. Project Zero -como se llama el programa- publicó una vulnerabilidad de Microsoft en diciembre, y semanas después, dio los detalles de las pruebas de concepto de dos defectos más justo antes de que Microsoft sacara el parche. Poco después, en enero, divulgó tres vulnerabilidades que afectaban al sistema operativo OS X de Apple, días antes de que ésta publicara la actualización de seguridad.

Sin embargo, es curioso ver cómo una empresa que invierte en seguridad deja cerca de un millón de dispositivos móviles sin parches de seguridad por no ser “práctico”.

Otros grupos se enfocan en la detección de amenazas sonadas, como el caso de Kaspersky, que en febrero sacó a la luz la banda Carbanak, que robó alrededor de un billón de dólares a los bancos o el “Equation Group”, aparentemente parte de la NSA, que instalaba spyware en los ordenadores para dar control total sobre ellos incluso si se borraba el disco duro o se reinstalaba el sistema operativo. Noticias de este tipo crean temor y promueven el negocio de la seguridad, a la vez que posicionan al descubridor.

Son diferentes estrategias de marketing con las que muestran su dedicación y especialización en seguridad, para promover la venta de sus productos. De lo que no cabe duda es que las compañías, cada vez más, deben afrontar la seguridad como una oportunidad de negocio.

 

Imagen: Lee Davy

 

Sobre el autor

Javier Esteban Zarza

Javier Esteban Zarza

Ingeniero superior de Telecomunicaciones y Electrónica y Máster de Electrónica finalizado en Los Ángeles. Actualmente formo parte de la Ingeniería preventa de Cataluña con especialización en seguridad. Aficionado a la fotografía, la tecnología, las Harleys, el surf y el snowboarding. Amante de la música, sobre todo el piano y la percusión, y los animales.
Ver todos sus artículos »