Hacking Team compraba por 45.000 dólares vulnerabilidades de día cero a hackers

Escrito por David Valero
Virus

Todavía hoy están apagándose las llamas del incendio provocado por el reciente escándalo de Hacking Team, el grupo que estaba siendo recurrido por Gobiernos y agencias de todo el mundo para usar herramientas de espionaje y monitorización contra ciudadanos, empresas y cualquier tipo de entidad. Ahora se sabe que esta compañía habría pagado cuantiosas sumas de dinero por hacerse con vulnerabilidades de día cero descubiertas por informáticos, analistas y hackers de todo el mundo.

La web Ars Technica ha sacado a la luz algunos datos curiosos de los correos electrónicos  publicados por Hacking Team,  la compañía italiana responsable de software espía que hace unos días fue hackeada y que reveló 400 GB de datos confidenciales con el nombre de sus populares clientes entre los que se encontraba el CNI o la Guardia Civil. En algunos de estos correos se aprecia como un pirata informático de Moscú habría vendido una vulnerabilidad zero-day a Hacking Team por una cifra cercana a los 45.000 dólares.

El e-mail había sido enviado por el propio hacker que habría ofrecido diversos exploits para las últimas versiones de Java, Flash Player, Silverlight o Safari. Esta información tiene un alto valor ya que ofrece a los piratas informáticos la opción de aprovechar un fallo de seguridad que todavía no ha sido detectado para introducir malware en el software o modificarlo de múltiples maneras para el beneficio propio. Como los desarrolladores todavía no se han percatado de la vulnerabilidad, no existe un parche que lo pueda contrarrestar por lo que el primer ataque siempre dará en el blanco.

Image: Hacker image

45.000 euros por vulnerabilidad, a pagar a plazos y con descuento

La respuesta de Hacking Team no tardó en llegar y preguntaba directamente por un precio a la persona que enviaba los e-mail. A través de un listado se ofrecía una serie de precios por paquetes e incluso descuentos dependiendo del volumen de exploits en los que se estuviera interesado. Todo un mercadeo que habría propiciado que se crearan herramientas para atentar contra la privacidad y la integridad tecnológica de millones de usuarios en todo el mundo.

La cifra que ha quedado marcada en rojo eran los 45.000 dólares que se pagaban por una compra sin exclusividad, y que podían abonarse a plazos. Dichos pagos podían cancelarse en el momento en el que el propietario del software atacado corrigiera la vulnerabilidad vía parche, a la vez que se solicitaba a Hacking Team que no alertara de esto a los desarrolladores. En posteriores ventas se han llevado a cabo descuentos al grupo modo de rebajas por ser un cliente habitual, como puede apreciarse en los correos publicados en WikiLeaks.

El contacto conocido como Toporov habría mantenido una relación “comercial” con Hacking Team durante casi 2 años, curiosamente hasta finales de abril de 2015 y la propia web Ars Technica ha podido contactar con él asegurando que no solo vendía sus descubrimientos a Hacking Team y que pensaba que los principales clientes eran los Gobiernos de Estados Unidos y Europa.

¿Qué opináis sobre que los Gobiernos recurran a estas prácticas de espionaje?

Quizá te interese…

Hacking Team, responsable de programas espía para Gobiernos, hackeado y 400GB de datos desvelados

Antenas de telefonía falsas están espiando móviles en Reino Unido

Envía archivos cifrados a prueba de espías en sólo 3 clics

Fuente > Ars Technica

Continúa leyendo
Comentarios
1 comentario
  1. Nova6K0 10 Jul, 15 7:26 pm

    En general mal me parece. Y más si se pueden fabricar pruebas falsas como el sistema RCS/Galileo de Hacking Team.

    El tema de la seguridad es complicado. Por un lado es más complicado luchar contra el crimen cuanto más sofisticadas son las técnicas. Pero por otro lado tampoco se pueden dejar puertas traseras o crear troyanos, como tal. Porque eso de troyanos buenos o puertas traseras que sólo las usarán los buenos (además de definir quienes son los buenos, claro) no existe.

    Es como si dejas las puerta de tu casa abierta y pones “sólo pueden entrar los buenos” ¿Creéis de verdad que “los malos” respetarían el cartel?.

    Salu2