Una nueva startup ofrece hasta 3 millones de dólares a quien pueda para hackear dispositivos Android e iOS, el precio público más alto que se ofrece por tales herramientas.
La startup se llama Crowdfense y tiene su sede en los Emiratos Árabes Unidos. En un movimiento inusual dentro de la industria normalmente secreta de las llamadas vulnerabilidades zero-day [ataques de día cero o imprevistos], Crowdfense envió un comunicado de prensa a los periodistas el martes, anunciando lo que llama una recompensa por bugs.
Las «vulnerabilidades zero-day» o ataques de día cero son herramientas de piratería que aprovechan los bugs o errores que hay en los sistemas informáticos y que son desconocidos para sus desarrolladores. Con los años, las mejoras en la seguridad de las computadoras y los teléfonos celulares más populares han dado paso a una industria secreta y controvertida dedicada a proporcionar estas herramientas a las agencias gubernamentales que necesitan ayuda para poder hackear a sus objetivos.
El director de Crowdfense, Andrea Zapparoli Manzoni, me dijo que él y su compañía están tratando de unirse a ese mercado, comprando vulnerabilidades zero-day a investigadores independientes para luego venderlas a las agencias de inteligencia y justicia.
«Cuando pienso en las agencias gubernamentales, no pienso en la parte militar, sino en la parte civil, esto funciona contra el crimen, el terrorismo y cosas así», me dijo Zapparoli en una entrevista telefónica. «Sólo nos enfocamos en herramientas destinadas a realizar actividades de reforzamiento de la ley o de las actividades de inteligencia, no están dirigidas a destruir o deteriorar la funcionalidad y efectividad de los sistemas que son nuestro objetivo, sino sólo a recopilar datos de inteligencia».
La compañía sólo está buscando vulnerabilidades de día cero para Windows, MacOS, iOS y Android. Según Zapparoli, no están interesados en las vulnerabilidades de los dispositivos del Internet de las cosas, ni de la infraestructura básica, ni de las compañías de telecomunicaciones o los sitios populares como Facebook.
Crowdfense está tratando de hacer las cosas de manera diferente, «con la máxima transparencia posible», dijo. Zapparoli dijo también que no quiere repetir los errores en que cayeron otras compañías de la industria en el pasado, y mencionó específicamente a Hacking Team, un proveedor italiano de spyware que es famoso por vender herramientas de hackeo y vigilancia a gobiernos opresivos.
«La búsqueda de clientes es la parte más delicada de toda nuestra actividad», dijo Zapparoli.
Sin embargo, por ahora, Zapparoli no especificó exactamente cómo está haciendo esa búsqueda o con quién está trabajando. Dijo que Crowdfense está dispuesto a venderle sólo a «muy pocos» clientes si es eso lo que tienen que hacer para asegurarse de que sus herramientas de hackeo no terminen en las manos equivocadas. Dijo que en el futuro podría publicar mejores prácticas y estándares acerca de cómo busca a sus clientes, pero por ahora, se «autorregulará».
El gobierno local de los Emiratos Árabes Unidos (EAU) autorizó a Crowdfense a abrir una tienda en Dubai, nos dijo Zapparoli.
«Cuando tenemos que vender fuera de EAU, normalmente no hay objeciones», nos dijo también.
En 2016, el gobierno de EAU fue acusado de intentar usar una vulnerabilidad de día cero de iPhone en contra del conocido activista de los derechos humanos Ahmed Mansoor. Esa vulnerabilidad les fue proporcionada por la empresa NSO Group con sede en Israel.
Zapparoli también dijo que la compañía tomará en consideración el controvertido Acuerdo Internacional de Wassenaar, que regula las llamadas tecnologías de «doble uso». Es decir, herramientas que pueden usarse tanto en tiempos de paz como de guerra. Algunos países que forman parte del acuerdo (los Emiratos Árabes Unidos no forman parte de él) consideran ciertas vulnerabilidades de día cero como artículos de doble uso. Zapparoli dijo que es responsabilidad de los investigadores que le venden sus vulnerabilidades a Crowdfense cumplir con el acuerdo.
La compañía tiene un presupuesto de $10 millones de dólares para esta «recompensa por bugs». Sus patrocinadores, por ahora, también son secretos. Zapparoli se negó a especificar quién invirtió en la compañía.
Adriel Desautels solía actuar como intermediario entre los investigadores que encuentran y desarrollan las vulnerabilidades de día cero, las empresas que las adquieren y los clientes del gobierno que terminan utilizándolas. Su compañía, Netragard, trabajó con varios clientes gubernamentales y con proveedores de tecnología de vigilancia como Hacking Team. Cuando Hacking Team fue hackeado y su lista de clientes revelada, Desautels decidió abandonar la industria.
Desautels dijo que la lista de precios de Crowdfense está en línea con el mercado. Mencionó que antes de abandonar la industria de los ataques de día cero, negoció la venta de una vulnerabilidad de iOS que se vendió en $4 millones de dólares. Pero se mantiene escéptico con respecto a su modelo comercial. Para que Crowdfense logré tener éxito, tendrá que revender las mismas capacidades a múltiples clientes, dijo, lo que podría generar problemas.
Sin embargo, el mercado está ahí.
«Cuando se habla de dispositivos iOS y Android, de este tipo de objetivos, se habla de intereses operativos reales», le dijo a Motherboard en una llamada telefónica: «Tienes una necesidad, tienes a alguien en movimiento que tiene un teléfono y necesitas rastrear quién es esa persona. Necesitas algo que puedas vincular directamente con una persona. Es justo cuando gastas esa cantidad de dinero».
Crowdfense se suma a un mercado abarrotado. Hay compañías relativamente públicas como Zerodium, que atrajo gran atención en los últimos años al anunciar recompensas multimillonarias similares para hackear softwares populares. También hay empresas menos conocidas y menos ampulosas como Azimuth, con sede en Australia .
Corrección: Una versión previa de esta historia citó a Zapparoli diciendo que los Emiratos Árabes Unidos autorizaron a Crowdfense a vender herramientas de hackeo. Zapparoli dijo que el gobierno sólo autorizó a la compañía a establecer una tienda en Dubai, no a vender vulnerabilidades de día cero, ya que no hay necesidad de una autorización como esa.