_
_
_
_
Tecnología
_
Wikileaks

El mercado gris donde la CIA compra armas de ciberespionaje

Una de las formas que tiene la agencia de obtener su arsenal, según se desprende de los documentos de WikiLeaks, es un mercado de compra-venta de 'malware'

Pablo G. Bejerano
Facebook
Twitter
Linkedin
Copiar enlace
Foto de acrchivo de la central de la CIA en Langley (Virginia, EE UU).
Foto de acrchivo de la central de la CIA en Langley (Virginia, EE UU).SAUL LOEB (AFP)

Los documentos revelados por WikiLeaks con Vault 7 indican que la CIA ha obtenido sus armas para el ciberespionaje por tres vías. Algunas vulnerabilidades las han desarrollado sus propios técnicos, otras forman parte del conocimiento que comparten con agencias de inteligencia, como la NSA —cuya vigilancia masiva descubrió Edward Snowden—, el FBI o el GCHQ británico. Y, como tercer camino, la CIA ha comprado malware a empresas privadas.

El resultado fue la cosecha de un arsenal de virus, troyanos y sistemas de control remoto para penetrar dispositivos e intervenir comunicaciones. El malware podía atacar de múltiples formas a los smartphone con Android, al iPhone y al iPad, a ordenadores con Windows y Mac OS e incluso a las televisiones inteligentes.

Imagen de la 'compra' en los documentos de WikiLeaks.
Imagen de la 'compra' en los documentos de WikiLeaks.

La filtración de WikiLeaks incluye tablas donde se cataloga el malware por nombre, tipo y otras características. Una de ellas es cómo se encontró. En este apartado, en uno de los 8.761 documentos filtrados destaca un nombre que no es la NSA, el FBI ni ningún organismo de inteligencia conocido: Baitshop. Y va acompañado de la palabra purchase (compra). En otra parte de la tabla se especifica que otra vulnerabilidad “llegó por compra”.

El mercado gris del 'malware'

Existen empresas que se dedican a comercializar con vulnerabilidades. Las compran a los investigadores de seguridad que las descubren y luego las revenden a otras entidades, en vez de informar a las compañías afectadas, como podrían ser Google, Apple o Microsoft. Baitshop podría referirse a una de estas empresas y formaría parte de un mercado gris del malware.

No es el mercado negro, ese mundo subterráneo asociado a la llamada Deep Web, cuyo nombre resuena habitualmente en los medios como sinónimo de los bajos fondos de Internet. No es necesario que la CIA se vaya tan lejos. El mercado gris es un controvertido limbo en el mundo de la ciberseguridad, un espacio con sombras pero legal. “En el mercado negro no hay ninguna contemplación. [Las vulnerabilidades] se venden al mejor postor y ya está. En el mercado gris, dependiendo de a quién, se puede restringir la venta”, explica Josep Albors, director de laboratorio en España de la firma de seguridad informática ESET.

Más información
Apple, Samsung y Microsoft reconocen la brecha denunciada por Wikileaks
¿La CIA puede entrar en mi Telegram o WhatsApp?

El experto en ciberseguridad de Deloitte Deepak Daswani califica a estas empresas de “mediadoras entre el investigador de seguridad y el que quiera comprar la vulnerabilidad”. Son compañías que están en Internet. Con una búsqueda sencilla se pueden encontrar sus páginas web, donde exhiben sus tablas de precios. No se esconden, están constituidas legalmente y tienen una actividad declarada. “Es un mercado que existe y que es lícito”, señala Daswani. “Al final los clientes son gobiernos y agencias de inteligencia que tienen el poder y los recursos económicos para utilizar esto”

El intercambio comercial es sencillo. Un investigador de seguridad descubre una vulnerabilidad. Acude a una de estas empresas y, si el precio le conviene, se la vende. Después la CIA acudiría a esta empresa y preguntaría por su catálogo de malware. Escogería el que quisiera y pagaría el precio estipulado.

Tras la pista de 'Baitshop'

Algunas empresas que operan en el mercado gris son Zerodium (heredera de Vupen, una de las más conocidas del mundillo), Exodus Intelligence, Netragard o el conocido intermediario The Grugq, cuyo papel se puede equiparar al de un agente literario, que busca editor para la novela de su cliente; en su caso busca comprador para vulnerabilidades que desarrollan otros y, cuando lo encuentra, se queda con una comisión del 15%.

Pero Baitshop no es un nombre conocido. En Internet no hay ni rastro suyo y ni siquiera los líderes del mercado gris saben quién es. Chouki Bekrar, fundador de Vupen y Zerodium, especula en Twitter con que puede ser un nombre en clave.

En realidad podría ser cualquiera de las anteriores empresas. Aunque no se pueden descartar grandes compañías que también hacen este trabajo, como Northrop Grumman o Raytheon, ambos contratistas del gobierno de Estados Unidos.

Los compradores del malware pueden ser entidades gubernamentales u otras empresas. ¿También cibercriminales? Hay ciertos límites a la hora de vender, pero la frontera es aceitosa. “El problema es cómo identificas, porque un cibercriminal se puede hacer pasar por una empresa legítima”, comenta Albors.

“Digamos que el problema no está en la legalidad sino en la ética”, Albors incide en que los agentes del mercado gris no están por la labor de concienciar a las empresas como Google y Apple para que solucionen los fallos encontrados.

Daswani coincide en la reflexión. “Esto siempre se ha puesto en entredicho. Hay diferentes posturas en el mundo de la seguridad, pero por supuesto que es cuestionable”, y va más allá. “¿Qué diferencia hay con gente que vende armas? Pues podría ser equivalente”. Después de todo, las vulnerabilidades no dejan de ser las armas esenciales para el ciberespionaje.

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
INICIA SESIÓNREGÍSTRATE

O suscríbete para leer sin límites

_

Archivado En

Recomendaciones EL PAÍS
Cursos
cursos
¡Da un salto en tu carrera! Encuentra los mejores cursos y formación profesional con alta demanda laboral
¡Da un salto en tu carrera! Encuentra los mejores cursos y formación profesional con alta demanda laboral
cursos
¿Quieres especializarte en Marketing 'online'? ¡Encuentra aquí el mejor máster para ti!
¿Quieres especializarte en Marketing 'online'? ¡Encuentra aquí el mejor máster para ti!
cursos
Encuentra el mejor curso de FP de Técnico Superior en Desarrollo de Aplicaciones Web
Encuentra el mejor curso de FP de Técnico Superior en Desarrollo de Aplicaciones Web
cursos
Encuentra el mejor máster para especializarte en Recursos Humanos
Encuentra el mejor máster para especializarte en Recursos Humanos
Recomendaciones EL PAÍS
Centros
cursosonline
Maestría en Administración de Empresas con concentración en Transformación Digital y Desarrollo de Negocios
Maestría en Administración de Empresas con concentración en Transformación Digital y Desarrollo de Negocios
cursosonline
Curso en línea de experto en Calidad Industrial y Procesos Farmacéuticos
Curso en línea de experto en Calidad Industrial y Procesos Farmacéuticos
cursosonline
Maestría en línea en Programación Web
Maestría en línea en Programación Web
cursosonline
Maestría en línea en Ciencias en Educación Virtual
Maestría en línea en Ciencias en Educación Virtual
Recomendaciones EL PAÍS
Centros
cursosonline
Curso de Marketing Digital. Metodología en línea
Curso de Marketing Digital. Metodología en línea
cursosonline
MBA Administración y Dirección de Empresas. Con un 81% de descuento
MBA Administración y Dirección de Empresas. Con un 81% de descuento
cursosonline
Maestría en Programación Web. Clases 100% en línea
Maestría en Programación Web. Clases 100% en línea
cursosonline
Descubra un completo Directorio de Centros de Formación
Descubra un completo Directorio de Centros de Formación
_
_