BAQUIA

El negocio de comprar y vender bugs de software

Bug hunter

Charlie Millar, antiguo empleado de la Agencia Nacional de Seguridad, está considerado como el primer “cazador de bugs”. En 2005 encontró un agujero de seguridad en Linux, y lo vendió al gobierno de los EEUU por 80.000 dólares.

Hoy en día podría haber sacado mucho más dinero por su hallazgo, ya que los interesados (desde agencias gubernamentales hasta los creadores del software, pasando por compañías rivales o incluso gobiernos enemigos) llegan a pagar cantidades de hasta seis cifras.

Se trata de un negocio, como nos cuenta Read Write Web, poco conocido pero muy lucrativo para quien lo practica. El problema es la falta de regulación y control, ya que en teoría nada impide que los bugs puedan acabar en manos de gente con intereses perniciosos.

Hay diferentes modalidades de explotar este negocio. Algunas empresas pagan directamente a quien encuentra un fallo de seguridad en su software. Por ejemplo Google, que este año lleva gastados 290.000 dólares en este concepto, y que paga un mínimo de 1.000 dólares por cada agujero descubierto en Chrome.

Luego están las empresas que se dedican a comprar los bugs y revenderlos a los creadores del sofware, mediante unas tarifas de suscripción mensual que van desde 500 hasta 20.000 dólares.

En un escalón superior trabajan las empresas que venden información al gobierno de los EEUU para que éste la utilice en hackear los teléfonos y ordenadores de sospechosos. También en ese nivel se encuentran los brokers que venden la información al mejor postor entre las agencias de seguridad europeas y norteamericanas, normalmente llevándose una comisión del 15%.

Lógicamente, los bugs dentro del software más extendido y popular (Windows, Android, iOS, navegadores, etc.) son los que mejor se pagan. Por eso, hay mucha gente dedicada a descubrir agujeros para luego vender esa información.

Es importante recordar que en los Estados Unidos no se trata de una actividad ilegal, aunque en otros países, como Alemania, sí está prohibida la venta o distribución de agujeros de software.

El problema surge cuando el comprador no tiene precisamente buenas intenciones, ya sean ciberdelincuentes o cualquier potencial enemigo de los intereses nacionales. Es por eso que algunos hablan de la necesidad de regular esta actividad -más allá de la ética personal de cada uno-, tarea evidentemente complicada, por no decir imposible.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios