Así se compran y venden las ‘ciberarmas’
Gobiernos y agencias de inteligencia consiguen programas maliciosos a través de una serie de empresas privadas, que las desarrollan o las adquieren de otros 'hackers'
Suelen trabajar en la sombra, al abrigo de las noticias que se publican en medios y redes sociales, pero a veces el nombre de alguna de estas compañías salta a la luz pública. Acaba de ocurrirle a NSO Group, a quien Facebook acusó recientemente de estar detrás de un fallo en WhatsApp que permitía espiar a los usuarios solo con hacerles una llamada perdida. La compañía señalada lo negó, como es habitual. Pero su caso ha sacado a la luz el oscuro mundo de las ciberarmas, un negocio millonario en el que participan empresas, Gobiernos y hackers.
Este tipo de empresas mantienen un perfil bajo. Desarrollan herramientas para hackear aplicaciones, móviles y sistemas operativos. Pero se mueven en un terreno legal. Gobiernos, fuerzas de seguridad del Estado y agencias de inteligencia les compran ciberarmas
¿Qué Gobiernos? En Zerodium tienen una opinión versada sobre el tema. Esta empresa desarrolla sus propias ciberarmas desde 2015, aunque se puede considerar heredera de la francesa Vupen, de los mismos fundadores y que empezó en el negocio en 2004. El CEO de Zerodium, Chaouki Bekrar, es taxativo: "Si cualquier representante de un país desarrollado niega tener capacidades ofensivas, él o ella está mintiendo".
Pero el nombre de los clientes no se concreta. A no ser que haya una filtración, como le ocurrió a la italiana Hacking Team, a quien le sustrajeron 400 gigabytes de información confidencial. Entre los documentos figuraban compradores como el FBI, la DEA, Gobiernos de varios países y también, en España, el CNI y la Policía Nacional.
“Si cualquier representante de un país desarrollado niega tener capacidades ofensivas, está mintiendo”
El discurso de Zerodium puede pasar por el de cualquier empresa de software. "Desarrollamos y compramos exploits [programas malicioso] para las plataformas, aplicaciones y dispositivos más populares. Damos soporte a Windows, Linux, Mac, iOS, Android y también a cualquier tipo de servidor o aplicación de escritorio", comenta Bekrar en declaraciones a EL PAÍS a través del correo electrónico. Llama la atención lo natural de la expresión "dar soporte a Windows", cuando sus productos sirven para atacar al sistema operativo.
"Nuestros clientes son Gobiernos occidentales en Europa y Norteamérica y usan nuestras capacidades para su seguridad nacional, solo para luchar contra el terrorismo y el crimen organizado o conducir operaciones de inteligencia, como siempre han hecho desde antes de Internet", matiza Bekrar.
Zerodium también compra vulnerabilidades a terceros para revenderlas. Yago Hansen, un hacker español con experiencia en el sector, explica cómo funciona el intercambio: "Tú le cuentas la vulnerabilidad a estas empresas y ellas la valoran según la capacidad de explotación que tenga". Cuando la empresa adquiere la vulnerabilidad la convierte en un exploit, un programa malicioso para aprovechar el fallo descubierto, y la incorpora a su oferta comercial.
"Las que mejor se pagan son las de smartphones, porque son las que más les interesan a Gobiernos y servicios de inteligencia", explica Hansen. "La información que almacenas en un smartphone, hoy en día, es mayor que la que almacenas en tu ordenador personal". También las vulnerabilidades de WhatsApp o Telegram se encuentran entre las más valoradas, así como las de ejecución remota de código. Estas últimas son capaces de introducir un troyano de forma remota, a través de una llamada, por ejemplo.
Por estas herramientas se pagan cantidades importantes. Desde luego, mucho más de lo que pagan las empresas a quienes les ha descubierto el fallo. Hansen toma como referencia la vulnerabilidad de WhatsApp, sobre la que Facebook señaló a NSO Group. En una estimación a vuelo de pájaro, "en el mejor de los casos quizá te puedan dar 10.000 euros por una vulnerabilidad como esa [en Facebook], mientras que ellos te podrían dar mínimo 100.000 euros".
Puede que incluso haya más dinero. Hace unos meses, Zerodium anunció que buscaba vulnerabilidades en WhatsApp, iMessage o para SMS. Estaba dispuesta a pagar hasta un millón de dólares (893.022 euros) por un fallo de este tipo. Por una vulnerabilidad que permitiera hacer jailbreak [conseguir acceso] al iPhone ofrecía la friolera de dos millones de dólares (1.786.044 euros).
Vigilar a los vigilantes
La joya de esta industria son las vulnerabilidades de día cero o zero-day. Consisten en un fallo que no se conoce públicamente. Y mientras sea así, los responsables —del sistema operativo, de la aplicación— no las corrigen. Son productos perecederos, porque al cabo de unos meses, o a lo sumo algún año, se acaban descubriendo.
Hansen condena las prácticas masivas, como el espionaje indiscriminado de la NSA que sacó a la luz Edward Snowden. Defiende que estos ataques se dirigen normalmente contra criminales y terroristas, aunque reconoce que siempre existe el riesgo de que las vulnerabilidades sirvan para controlar a activistas o grupos políticos. En México, un programa desarrollado por el NSO Group se destinó a vigilar a periodistas, activistas y políticos de la oposición.
También preocupa que estas ciberarmas caigan en malas manos, si bien Hansen enfatiza que las empresas que se dedican a este negocio están vigiladas: "Los propios Gobiernos que les compran se encargan de vigilar a quién están vendiendo. Es muy parecido al mercado de armas. De hecho, la licencia que necesita este tipo de compañías es la misma que la de venta de armas. Es material de doble uso (civil y militar)".
Hansen sabe de lo que habla. Tuvo que pedir esta licencia en España porque, durante algunos años, tuvo una empresa que desarrollaba productos de interceptación de comunicaciones. Exportaban a una corporación israelí: "Sabíamos que estábamos vigilados por todos lados".
Los fallos que mejor se pagan son los de los ‘smartphones’
Aunque a primera vista existen diferencias con la industria armamentística tradicional, Félix Arteaga, investigador en seguridad del Real Instituto Elcano, explica que la venta de armas es una industria muy gubernamentalizada, donde unas grandes compañías sirven a los Estados. "En el mercado de la ciberseguridad no está tan claro. Es muy difícil monitorizar qué se hace con esasciberarmas aparte de venderlas a los Estados", dice este experto.
"Antes solo estaban las grandes empresas privadas que fabricaban armamento", indica Arteaga. "Ahora hay todo tipo de empresas, como consultoras, que prestan servicios de ciberseguridad, hacen análisis de riesgo, desarrollan tecnologías de protección, de ataque. Esto tiene un valor de mercado para los Estados", añade.
A nivel geopolítico, el comercio de estas herramientas de hacking sigue la estructura de los bloques internacionales. “En el momento que la tecnología es objeto de confrontación se busca un bloqueo, como el que Estados Unidos quiere imponer ahora a la transferencia de tecnologías sensibles hacia otros países. Y el ámbito de la ciberseguridad es de los más sensibles”, detalla Arteaga.
Estados Unidos y Europa son un bloque. Rusia y China forman cada uno el suyo, mientras Corea del Norte es otro. Obtienen ciberarmas desarrollándolas internamente o comprándolas a las empresas privadas, que se limitan a vender a uno solo de los bloques. “Poco a poco lo que se pide es que esto se acabe regulando, igual que se reguló, aunque con limitaciones, el comercio de armas”, reflexiona Arteaga. “Lo que pasa es que a ninguno de los grandes países que tiene esta capacidad ofensiva le interesa una regulación”.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.