El mercado gris donde la CIA compra armas de ciberespionaje
Una de las formas que tiene la agencia de obtener su arsenal, según se desprende de los documentos de WikiLeaks, es un mercado de compra-venta de 'malware'
Los documentos revelados por WikiLeaks con Vault 7 indican que la CIA ha obtenido sus armas para el ciberespionaje por tres vías. Algunas vulnerabilidades las han desarrollado sus propios técnicos, otras forman parte del conocimiento que comparten con agencias de inteligencia, como la NSA —cuya vigilancia masiva descubrió Edward Snowden—, el FBI o el GCHQ británico. Y, como tercer camino, la CIA ha comprado malware a empresas privadas.
El resultado fue la cosecha de un arsenal de virus, troyanos y sistemas de control remoto para penetrar dispositivos e intervenir comunicaciones. El malware podía atacar de múltiples formas a los smartphone con Android, al iPhone y al iPad, a ordenadores con Windows y Mac OS e incluso a las televisiones inteligentes.
La filtración de WikiLeaks incluye tablas donde se cataloga el malware por nombre, tipo y otras características. Una de ellas es cómo se encontró. En este apartado, en uno de los 8.761 documentos filtrados destaca un nombre que no es la NSA, el FBI ni ningún organismo de inteligencia conocido: Baitshop. Y va acompañado de la palabra purchase (compra). En otra parte de la tabla se especifica que otra vulnerabilidad “llegó por compra”.
El mercado gris del 'malware'
Existen empresas que se dedican a comercializar con vulnerabilidades. Las compran a los investigadores de seguridad que las descubren y luego las revenden a otras entidades, en vez de informar a las compañías afectadas, como podrían ser Google, Apple o Microsoft. Baitshop podría referirse a una de estas empresas y formaría parte de un mercado gris del malware.
No es el mercado negro, ese mundo subterráneo asociado a la llamada Deep Web, cuyo nombre resuena habitualmente en los medios como sinónimo de los bajos fondos de Internet. No es necesario que la CIA se vaya tan lejos. El mercado gris es un controvertido limbo en el mundo de la ciberseguridad, un espacio con sombras pero legal. “En el mercado negro no hay ninguna contemplación. [Las vulnerabilidades] se venden al mejor postor y ya está. En el mercado gris, dependiendo de a quién, se puede restringir la venta”, explica Josep Albors, director de laboratorio en España de la firma de seguridad informática ESET.
El experto en ciberseguridad de Deloitte Deepak Daswani califica a estas empresas de “mediadoras entre el investigador de seguridad y el que quiera comprar la vulnerabilidad”. Son compañías que están en Internet. Con una búsqueda sencilla se pueden encontrar sus páginas web, donde exhiben sus tablas de precios. No se esconden, están constituidas legalmente y tienen una actividad declarada. “Es un mercado que existe y que es lícito”, señala Daswani. “Al final los clientes son gobiernos y agencias de inteligencia que tienen el poder y los recursos económicos para utilizar esto”
El intercambio comercial es sencillo. Un investigador de seguridad descubre una vulnerabilidad. Acude a una de estas empresas y, si el precio le conviene, se la vende. Después la CIA acudiría a esta empresa y preguntaría por su catálogo de malware. Escogería el que quisiera y pagaría el precio estipulado.
Tras la pista de 'Baitshop'
Algunas empresas que operan en el mercado gris son Zerodium (heredera de Vupen, una de las más conocidas del mundillo), Exodus Intelligence, Netragard o el conocido intermediario The Grugq, cuyo papel se puede equiparar al de un agente literario, que busca editor para la novela de su cliente; en su caso busca comprador para vulnerabilidades que desarrollan otros y, cuando lo encuentra, se queda con una comisión del 15%.
Pero Baitshop no es un nombre conocido. En Internet no hay ni rastro suyo y ni siquiera los líderes del mercado gris saben quién es. Chouki Bekrar, fundador de Vupen y Zerodium, especula en Twitter con que puede ser un nombre en clave.
Baitshop is a codename, not a company name, maybe... #vault7
— Chaouki Bekrar (@cBekrar) March 8, 2017
En realidad podría ser cualquiera de las anteriores empresas. Aunque no se pueden descartar grandes compañías que también hacen este trabajo, como Northrop Grumman o Raytheon, ambos contratistas del gobierno de Estados Unidos.
Los compradores del malware pueden ser entidades gubernamentales u otras empresas. ¿También cibercriminales? Hay ciertos límites a la hora de vender, pero la frontera es aceitosa. “El problema es cómo identificas, porque un cibercriminal se puede hacer pasar por una empresa legítima”, comenta Albors.
“Digamos que el problema no está en la legalidad sino en la ética”, Albors incide en que los agentes del mercado gris no están por la labor de concienciar a las empresas como Google y Apple para que solucionen los fallos encontrados.
Daswani coincide en la reflexión. “Esto siempre se ha puesto en entredicho. Hay diferentes posturas en el mundo de la seguridad, pero por supuesto que es cuestionable”, y va más allá. “¿Qué diferencia hay con gente que vende armas? Pues podría ser equivalente”. Después de todo, las vulnerabilidades no dejan de ser las armas esenciales para el ciberespionaje.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.