El marketing de las vulnerabilidades

  07/12/2022   4 min

En los últimos años nos hemos beneficiado de la evolución vertiginosa de la tecnología. Pero, del mismo modo que nos ha ayudado a ser más ágiles y eficaces personal y laboralmente, ha permitido a cibercriminales aumentar y diversificar el espectro de objetivos.

Los números presentados por ESET son abrumadores: el incremento de Amenazas Persistentes Avanzadas (APT) prácticamente duplica la ley de Moore año tras año, y alcanzó las 53 APT en 2014. Dentro de las corporaciones, Check Point nos avisa:

  • Cada cuarenta y nueve minutos se envía información sensible fuera de la organización.
  • Cada diez minutos se descarga malware.
  • Cada nueve minutos se utilizan aplicaciones web peligrosas.
  • Cada un minuto se accede a una web maliciosa.

Queda patente que el negocio del malware cuenta con un retorno de inversión, ya que permite desarrollar 158 nuevas muestras de malware por minuto y buscar nuevas vulnerabilidades, que van al acecho en números. Sólo en 2014 se creó el 34 por ciento del malware de la historia.

Durante el pasado año, vulnerabilidades como Heartbleed, Shell Shock, la caída del SSL v3 con Poodle o Ransomware, han sido los principales dolores de cabeza para los responsables de seguridad en las corporaciones.

Pero esto es sólo una pequeña porción del gran pastel. Podemos ver información detallada de las casi 8.000 vulnerabilidades publicadas en 2014, y fue Adobe la que tuvo una media ponderada de criticidad más elevada (9/10). Cada una de las vulnerabilidades es una oportunidad para ganar dinero: a mayor criticidad, mayor recompensa económica.

Las grandes corporaciones ofrecen sumas, nada despreciables, a aquéllos que informen de vulnerabilidades en sus aplicaciones. Google pagó 150.000 dólares a George Hotz por desmantelar la defensa del sistema operativo Google Chrome.

Pero no se queda ahí la cosa, y las grandes empresas disponen de concursos oficiales en los que se recompensa económicamente el reporte de agujeros en sus aplicaciones. El importe varía en función de la compañía. Por ejemplo, Facebook pago 1,3 millones de dólares en 2014, con un incremento en el número de emisiones del 16 por ciento respecto al año anterior . Google cuenta con Pwnium, que recientemente ha pasado a ser un concurso anual de detección de bugs en su navegador Chrome . Twitter ofrece un mínimo de 140 dólares, Pinterest entre 25 y 200 dólares y Adobe, que ha creado el programa hace poco, permite aumentar la puntuación de reputación en HackerOne, sin gratificación económica.

Hasta aquí tenemos una forma de lucrarnos gracias a la investigación en el mundo de las vulnerabilidades pero ¿las empresas también juegan?

Muchas cuentan con grupos de investigación dedicados a la búsqueda de vulnerabilidades en aplicaciones de terceros. Una vez detectadas, este grupo reporta a la empresa propietaria de la aplicación el problema para que pueda publicar un parche y conseguir una solución más segura y robusta. Pasado un período de tiempo determinado, el equipo investigador hace públicas las vulnerabilidades encontradas, aunque no hayan sido parcheadas. Este margen de maniobra que se otorga al desarrollador varía en función de la empresa: Google ofrece 90 días, la iniciativa Zero day de HP tiene una política de 120 días, mientras que la del CERT Coordination Center en la universidad Carnegie Mellor es de 45 días.

Y es que está claro que la inversión en un grupo especialista debe tener un retorno, que  no es claramente cuantificable, del mismo modo que no lo es un anuncio en televisión, pero la publicación de estas vulnerabilidades se vuelve viral en la red entre las comunidades especializadas y proporcionan una publicidad enorme.

Es un arma de doble filo porque ¿qué pasaría si dedico esfuerzos en publicar vulnerabilidades de mis oponentes? ¿Conseguiría fortalecer la imagen y mejorar el posicionamiento?

Como informa www.securityweek.com, Google generó polémica a finales de 2014 y principios de 2015 debido a su rigidez en la publicación de los fallos de seguridad. Project Zero -como se llama el programa- publicó una vulnerabilidad de Microsoft en diciembre, y semanas después, dio los detalles de las pruebas de concepto de dos defectos más justo antes de que Microsoft sacara el parche. Poco después, en enero, divulgó tres vulnerabilidades que afectaban al sistema operativo OS X de Apple, días antes de que ésta publicara la actualización de seguridad.

Sin embargo, es curioso ver cómo una empresa que invierte en seguridad deja cerca de un millón de dispositivos móviles sin parches de seguridad por no ser “práctico”.

Otros grupos se enfocan en la detección de amenazas sonadas que en febrero sacó a la luz la banda Carbanak, que robó alrededor de un billón de dólares a los bancos o el “Equation Group”, aparentemente parte de la NSA, que instalaba spyware en los ordenadores para dar control total sobre ellos incluso si se borraba el disco duro o se reinstalaba el sistema operativo. Noticias de este tipo crean temor y promueven el negocio de la seguridad, a la vez que posicionan al descubridor.

Son diferentes estrategias de marketing con las que muestran su dedicación y especialización en seguridad, para promover la venta de sus productos. De lo que no cabe duda es que las compañías, cada vez más, deben afrontar la seguridad como una oportunidad de negocio.

Imagen: Lee Davy

Javier Esteban Zarza
Ingeniero superior de Telecomunicaciones y Electrónica y Máster de Electrónica finalizado en Los Ángeles. Actualmente formo parte de la Ingeniería preventa de Cataluña con especialización en seguridad. Aficionado a la fotografía, la tecnología, las Harleys, el surf y el snowboarding. Amante de la música, sobre todo el piano y la percusión, y los animales.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

 Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

 Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

 Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

 Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

 Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)

Para tus Empleados

 La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.
Consultoría e innovación tecnológica
Te atendemos en el 1489

Contáctanos
Soy una Pyme     No soy empresa
Ir arriba