Aspectos Económicos de la Seguridad

EL MERCADO DE VULNERABILIDADES

¿Qué tan positivo es para la seguridad de nuestro Software?

INTRODUCCIÓN

Aunque la razón ha acompañado al  género humano desde tiempos inmemoriales, fue solo desde hace unos cuantos siglos que la tecnología ha tenido una evolución exponencial. Nuestro actual desarrollo tecnológico es el que nos permite, entre otras muchas cosas, haberle ganado la batalla a muchas enfermedades, comunicarnos de forma instantánea con personas que están a cientos o miles de kilómetros de distancia o procesar, almacenar y usar miles de millones de datos en fracciones de segundo. Ésta casi infinita capacidad de procesamiento, almacenamiento y comunicación es lo que ha hecho que optemos por mantener información relevante para nosotros o nuestras compañías a la mano, para ser usadas en forma local o remota en cualquier momento. Pensamos que con sólo aplicar ciertas técnicas de seguridad y confiar el resguardo y procesamiento de esa información a sistemas y aplicaciones de renombre, nuestra información va a desparecer para siempre de los ojos de los curiosos.

Es precisamente en éstas últimas, las aplicaciones, y por extensión a sus sistemas base (sistemas operativos), en cuyas manos estamos poniendo todo el peso de la seguridad de nuestros datos; sistemas y aplicaciones que, en medio de nuestra ignorancia tecnológica, concebimos como grandes “cajas negras” a las cuales les inyectamos datos e instrucciones y obtenemos resultados sin que se produzca nada anormal en medio del proceso. La mala noticias está en que, como éstos son productos humanos, están, en mayor o menor medida, cargados de defectos que los pueden hacer vulnerables a ataques de ciertos inadaptados sociales que pretenden llegar a nuestra información a través de ellos. A estas falencias del software es a las que se conocen con el nombre de vulnerabilidades. Y si, aunque parezca difícil creerlo, ya hay un mercado en donde se compran y se venden!

EL MERCADO

Parece que todo empezó en el año 2004 con la Fundación Mozilla, organización que está detrás de productos como el navegador Firefox y el cliente de correo Thunderbird. La Fundación creó un programa de incentivos o recompensas llamado Bug Bounty Program en donde se premiaba a quienes descubrieran fallas de seguridad en sus productos. Más tarde, y como los resultados no se hicieron esperar, compañías de la envergadura de Microsoft, Google y Facebook siguieron ésta ruta.

En marzo de 2012, la revista Forbes publicó una investigación^[1] en donde dio a conocer que en éste millonario negocio no están sólo las grandes compañías productoras de software si no también entes gubernamentales del mundo entero, pues ellos también están interesados en  saber cómo explotar las vulnerabilidades de ciertos productos para realizar labores de espionaje.

De igual manera, y como en todo negocio que genere buenas ganancias, existen también intermediarios que anda a la caza de éstas fallas en el software para adquirirlas y venderlas luego al mejor postor. El autor de la publicación antes mencionada también logró relacionar, con la ayuda de sus fuentes, una lista de precios de ese entonces, según la popularidad del producto:

[pic 1]

Y, como dice el propio autor de la investigación: “Cada precio supone una venta exclusiva, la versión más moderna del software, y, por supuesto, no alertar al proveedor del software”.

...