martes, 31 de enero de 2006

Mercado de vulnerabilidades

Publica Sergio Hernando en su post Mercado de vulnerabilidades 0-day una de esas noticias que parecen ciencia ficción pero que nos hace poner los pies en la tierra respecto a quien está al otro lado de este mundillo de la in-seguridad informática.

Y es que ya nadie puede negar que detrás de este mundo vendido como "oscuro" prima el ganar dinero. Tal como publica Sergio, los conocimientos y las evidencias sobre fallos que puedan generar exploits "cotizan" en ciertos mercados.
Quién paga por algo así, está claro que lo va a rentabilizar de alguna manera, luego este tipo de hechos dejan al descubierto que el mundo técnico con conocimientos muy profundos de las potenciales vulnerabilidades está de alguna manera "prostituyendose" al mundo del crimen organizado. Antes se requería un arsenal y mucha logística para cometer un delito serio que generase bastante botín, y ahora es todo mucho más facil gracias al otro uso que pueden darse a las tecnologías. En fin, uno no deja de sorprenderse por noticias como esta.

2 comentarios:

Sergio Hernando dijo...

Gracias por la referencia Javier :)

Lo peor de la noticia es que es sólo un caso aislado de entre otros muchos. Por ejemplo, ya sabemos que el phishing y el spam con cartas nigerianas está organizado y promovido por mafias que buscan rentabilizar los fraudes y que las cantidades que se manejan son de muchos ceros. Este asunto de la venta de vulnerabilidades es sólo la punta del iceberg.

Suena a ciencia y ficción, pero realmente es así. Lo que pasa es que creo que todavía no hemos puesto todos los pies en la tierra y no nos hemos dado cuenta de que el crimen organizado ha encontrado un filón en el mundo de la (in)seguridad y ese filón no es de oro, es de platino y diamantes, para nuestra desgracia. Un día de ganacias con un phishing efectivo puede equivaler al sueldo medio neto que percibe cualquiera de los muchos trabajadores de clase media que tú y yo podamos conocer, durante 5 a 10 años. Así de tristes están las cosas.

Un saludo :)

Javier Cao Avellaneda dijo...

Como dice Sun Tzu "Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla."
El problema es que los que creemos conocer al enemigo cuando contamos lo que se viene encima parece que quedamos como tontos o locos. Los responsables de Tecnología no pueden ni aspirar a conocerse a ellos mismos dado que no se tiene un termómetro de la seguridad así que mucho menos de lo que puede haber al otro lado.
No me atrevía a ponerlo en los pronosticos del 2006, pero es posible que haya pronto un "Tsunami tecnológico".

 
;