En el mercado negro o Darknet, un exploit de ejecución remota de código para Microsoft Edge puede llegar a tener un precio máximo de 500,000 dólares, mientras que un exploit para WhatsApp en Android tendría un costo mayor de hasta 1,000,000 de dólares, o un exploit para el sistema operativo iOS podría alcanzar los 2,000,000 de dólares en el mercado gris (brokers o intermediarios de exploits). Esto de acuerdo con las estimaciones de un informe elaborado por Tenable Research en 2019 que examinó cuán lucrativas pueden ser las vulnerabilidades, con un análisis detallado de la economía de la cadena de suministro de exploits.
El estudio, que explica el cibercrimen y la vulnerabilidad para explotar la cadena de suministro (V2E), enfatizó que el cibercrimen es un negocio mucho más grande que la ciberseguridad; se requiere aproximadamente de 11 a 12 dólares de actividad delictiva para impulsar un dólar de gasto en seguridad. La actividad de lavado de dinero por sí sola, que asciende a 200,000 millones de dólares, es mayor que todo el gasto en ciberseguridad a nivel mundial, estimado en 136,000 millones de dólares en 2019.
Al respecto, Luis Isselin, country manager de Tenable en México, comentó que una vulnerabilidad puede ser una debilidad en una red derivada de sus sistemas o dispositivos conectados la cual un atacante puede explotar de varias maneras, incluida la ejecución de acciones no autorizadas y/o la obtención de información confidencial. Los ciberdelincuentes viven bajo una ética de trabajo de alto riesgo y alta recompensa, por lo que es importante que las organizaciones lo tomen en cuenta al abordar las vulnerabilidades y los activos sensibles en sus redes para evitar un ataque.
De acuerdo con dicho reporte, la mayoría de los exploits de mayor demanda se centran en el cliente (como los navegadores Web y los plug-ins asociados), en los dispositivos móviles y en las comunicaciones. Los precios que se ofrecen por los exploits dirigidos a Android e iOS también se han disparado en el mercado gris, registrando precios de hasta 2,500 millones de dólares y 2,000 millones de dólares, respectivamente.
Es importante entender que por sí solos los exploits no vulneran a una víctima. Deben entregarse a objetivos vulnerables y utilizarse para ejecutar una cadena de ataque (kill chain) con diferentes pasos para realizar su objetivo, que podría incluir el robar datos financieros y de credenciales, instalar un troyano de acceso remoto (RAT) para integrar al sistema como un zombi en una red de bots para ataques DDoS, o ejecutar un cryptominer, por ejemplo. En el mercado negro, se pueden adquirir ofertas de ataque cibernético como servicio, que pueden incluir kits de herramientas de ataque y maliciosas, como los kits del explotación que contienen infraestructura de comando y control e incluso hackers por contrato.
Guerra de precios
El reporte también resaltó que el mercado de brokers de exploits evolucionó de un grupo grande y diverso de intermediarios independientes que exploraba la Darknet en busca de exploits y los vendía al mejor postor, a estar dominado por unas pocas agencias intermediarias importantes.
Dado que el costo promedio estimado para desarrollar un exploit dirigido es de 30,000 dólares, muchos intermediarios más pequeños no han podido competir con las grandes agencias intermediarias, ya que carecen de la capacidad de realizar una detección de vulnerabilidades para las tecnologías objetivo demandadas.
En la actualidad, los investigadores independientes venden, con frecuencia, directamente a las agencias intermediarias de exploits o utilizan brokers de exploits independientes; tan solo en el año 2017, el tamaño de todo el mercado gris de intermediación de exploits se estimó en apenas 10 millones de dólares. Esta tendencia ha concentrado el mercado de día cero y exploits en las manos de unos pocos grandes actores. Estudios recientes indican que la intermediación de exploits ha desaparecido casi por completo en la Darknet, con solo algunos actores activos, de quienes se sospecha que trabajan directamente para las agencias intermediarias.
Algunos investigadores selectos se han unido a las filas de los más ricos al participar en programas de recompensas por la detección de errores usando plataformas dedicadas, que les permiten ganar más de un millón de dólares. Aunque el análisis reciente de los datos sobre las recompensas por la detección de errores indica que menos del 1% de los participantes más activos ganan un promedio de 34,000 dólares al año.
A los participantes en los programas de recompensas por la detección de errores administrados por proveedores les ha ido mejor. Por ejemplo, Google pagó 60,000 dólares por una única vulnerabilidad, y los pagos totales desde 2010 superan los 15 millones de dólares. Pero esa suma no incluye los cientos o miles de participantes que han invertido tiempo y esfuerzo sin ningún éxito o pago. Los intermediarios de la darknet pueden ofrecer mucho más por muchos exploits que los competidores del mercado gris, especialmente en los casos en los que los exploits están asociados con los vectores de ataques y amenazas actuales y conocidos, tales como la ejecución por explotación y el ransomware.
Según el informe de Tenable, las ganancias también tienen un tope potencial, ya que la mayoría de los intermediarios de exploits tampoco tienen un capital ilimitado y, a fin de cuentas, también tienen que encontrar compradores. La sobresaturación del mercado reducirá potencialmente la exclusividad y, por lo tanto, el precio de ese tipo particular de exploit, y acumular exploits para liberarlos a lo largo del tiempo tiene en sí múltiples riesgos, como el de que los dé a conocer un tercero.
El precio de los exploits individuales ha variado a lo largo del tiempo, en función de la demanda y la oferta del mercado, la complejidad del exploit y el nivel de compromiso del sistema ofrecido. Los intermediarios de exploits del mercado gris publican listas de precios, y esencialmente, compiten entre sí en una guerra de subastas abiertas, al tiempo que aumentan el monto monetario que cualquier intermediario del mercado negro ofrezca.
Otra propuesta es desalentar los ataques, haciéndolos tan costosos de ejecutar que no generen un retorno de la inversión. Por ejemplo, las recompensas por la detección de errores desalientan la participación de los investigadores en los mercados gris y negro, al ofrecer una alternativa legal y legítima para ganar dinero. En teoría, los desarrolladores de exploits pueden ganar millones de dólares — y, potencialmente, convertirse en millonarios con un solo exploit—, pero en la realidad, estos son los menos, y la gran mayoría de los investigadores que están involucrados en las recompensas por la detección de errores y la investigación comunitaria ganan muy poco.
Por último, Luis Isselin comentó que el desequilibrio entre la cantidad de recursos que los grupos de delincuentes invierten en cometer delitos cibernéticos y los recursos limitados de los defensores, exige que las organizaciones mejoren la eficacia de sus medidas preventivas. Dada la abrumadora cantidad de vulnerabilidades que existen, es necesario contar con una gestión de vulnerabilidades basada en el riesgo que priorice las vulnerabilidades con mayor probabilidad de ser aprovechadas por un atacante, que por lo general son las que se encuentran en las tecnologías y aplicaciones más populares.
Fuente: cio.com.mx
