El Negocio de la Venta de Exploits en el Mercado Negro

Ing. Miguel Arturo Isaza Villar

Seguridad Informática 
Barranquilla, Colombia

 Abstract— Information is today, the most important intangible asset that has an organization, more and more companies leverage technology to optimize their production models, better market their products, position your name, manage their business processes or just to be at the forefront of technology, parallel to this technological growth, there is an organized industry dedicated to detect system vulnerabilities and develop malicious code that can exploit these vulnerabilities to sell to the highest bidder

 I.          Introduccion

En este documento revisaremos cómo funciona el negocio de la creación, compra y venta de exploit en el mercado negro, práctica que genera grandes márgenes a las organizaciones que ejercen este tipo de actividades en el bajo mundo (underground)

 II.         Definiciones

A.    Exploit

Un exploit es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de provechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo. Ejemplos de comportamiento erróneo: Acceso de forma no autorizada, toma de control de un sistema de cómputo, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio, entre otros [2].

B.    Vulnerabilidad

Las vulnerabilidades son puntos débiles de un sistema que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido [4]

C.    Malware (software malintencionado)

Según ISACA, la definición de malware es la siguiente: “El malware es un software diseñado para infiltrar, dañar u obtener información de un Sistema informático sin el consentimiento del propietario” [1] en otras palabras el malware no es más que un código diseñado y desarrollado con el fin de causar algún daño sobre un sistema informático

D.    Deepweb

Se le conoce informalmente como Internet profunda o Internet invisible (Deepweb, Invisible Web) a una porción presumiblemente muy grande de la Internet que es difícil de rastrear o ha sido hecha casi imposible de rastrear [5] con los motores tradicionales de búsqueda como lo es Google, Bing, Yahoo, entre otros, esta porción de internet normalmente es accedida por canales que utilizan Tor, MaidSafe, entre otros.

E.    Bitcoin

El bitcoin o moneda electrónica es una moneda descentralizada, es decir, no está respaldada por ningún gobierno ni depende de la confianza en ningún emisor central, sino que utiliza un sistema de prueba de trabajo para impedir el doble gasto y alcanzar el consenso entre todos los nodos que integran la red [7], esta moneda es normalmente la utilizada underground para consumir los servicios de compra y venta de exploits y/o de herramientas al servicio de la crimen informático organizado

F.    Cashiers

En el mundo del exploit, los cashiers son los encargados de mover las ganancias económicas entre diferentes cuentas. Si la operación es compleja en cuanto a infraestructura, el cashier suele utilizar otro actor para que desempeñe esta función, que son los denominados muleros.

G.    Mulero

Los muleros son aquellas personas cuya función principal es la del blanqueo de capital. Actúan de intermediarios en la cadena del fraude, llevándose a cambio un porcentaje del beneficio. Un caso muy común son las ofertas de trabajo suculentas para ganar dinero fácil.

H.    Mercado Negro (underground)

Este es el término utilizado para describir la venta clandestina e ilegal de bienes, productos o servicios, violando la fijación de precios o el racionamiento impuesto por el gobierno o las empresas [3].

 

III.        Estructuras gerarquicas

Es importante que entendamos que hay un gran mercado organizado cuya única función es buscar vulnerabilidades en sistemas altamente demandables y desarrollar los exploits de Día Zero necesarios para penetrar dichos sistemas, pero ¿cómo estas están estructuradas estas organizaciones?, según nos explica securityartwork estas organizaciones trabajan en underground y su estructura funciona por roles como lo haría una empresa legalmente constituida, a continuación veremos los roles que estas estructuras ilegales utilizan :

Roles Técnicos, en este nivel encontramos a los desarrolladores de los códigos maliciosos y de los exploit que serán utilizados para vulnerar los sistemas, dentro de las actividades de este rol podemos encontrar la creación y adaptación o modificación de malwares, en este grupo los desarrolladores se dividen de acuerdo al tipo de malware desarrollado o de acuerdo a su especialidad

Roles Comerciales, en estos roles encontramos a los responsables de volver las explotaciones realizadas en dinero o bienes tangibles, estas son las personas encargadas de lavar el dinero, para eso normalmente utilizan los servicios de los cashier y los muleros

Roles de Gestión, En la jerarquía nos encontramos en la parte más alta al rol de gestión, al igual que ocurre en las compañías legítimas. Este rol es el encargado de coordinar, dirigir, decidir las contrataciones de las personas o grupos y supervisar las operaciones.

En la deepweb  no es extraño encontrar personas independientes que se especializan en la búsqueda de vulnerabilidades de forma independiente y luego las venden a las grandes estructuras quienes desarrollan los exploit, también hay desarrolladores independientes que compran las vulnerabilidades detectadas y crean los exploits ya sea para explotarlos ellos mismos o para vendérselo a las organizaciones para que realicen sus campañas, en estos casos puntuales de personas independientes ellos mismos harán los roles técnicos, comerciales y de gestión dependiendo el caso.

 

IV.        ¿Como llegar a un exploit?

Se dice que toda oferta es consumida por una demanda que adquiere los servicios ofrecidos, anteriormente las personas que se dedicaban a vulnerar los sistemas eran las mismas encargadas de desarrollar las diferentes explotaciones sin embargo esta industria ha llegado a un nivel tan alto, que existen comercializadores de exploits  las cuales son fácilmente asequibles desde la deepweb.

Lo primero que hay que saber es como llegar a la deepweb, (se podría utilizar canales tipo Tor) para poder tener acceso al grandioso mundo del mercado negro, donde no solo se encuentran exploits o demas formas de delitos informáticos, también se pueden comprar herramientas, armas, drogas, pornografía y cualquier tipo de ilegalidades que nos podamos llegar a imaginar.

En la figura 1 podemos entender de mejor forma cómo funcionan los niveles de acceso a la Deepweb, los cuales aparecen a partir del nivel numero 4

Fig. 1 Los niveles de la Deepweb

En este punto solo hay que saber dónde compra ya que la deepweb es muy difícil de rastrear y los fraudes están a la orden del día, sin embargo como todo en estas redes hay sitios que gozan de mucha popularidad y seriedad, lo cual sirve para generar confianza a la hora de adquirir los productos de este mercado.

Hoy en día hay intermediarios que ayudan a hacer los exploits de Día Zero más asequibles para los gobiernos y/o entidades en busca de un exploit específico para apoyar una determinada campaña, un ejemplo de estos intermediarios es Grugq, el cual cobra una comisión del 15% sobre el valor del exploit, ésta empresa factura alrededor de un millón de dólares, según la revista Forbes (año 2012) quien publicó una lista de precios de exploits según su demanda, ver figura 2. Forbes también revelo que son precisamente los gobiernos occidentales, especialmente los gobiernos Europeos y el de los Estados Unidos los que mejor pagan, contrario a los gobiernos Ruso y Chino que pagan muy poco porque tienen mucha oferta de hackers en sus mercados locales.

Fig. 2 Valores de los exploits según los sistemas en el mercado negro, año 2012

Recientemente se ha venido promocionando un sitio llamado TheRealDeal, el cual se accede a través de la red Tor,  el mismo ofrece garantías de seriedad en donde como política tienen filtros anti estafas al estilo de aliexpress.com, donde el pago (en este caso el pago es en bitcoin) solo le llega al vendedor cuando el comprador recibe a conformidad el producto adquirido lo que indica que en teoría el pago puede devolvérsele al comprador si este no recibe lo que el sitio promete, este sitio también ofrece demos para probar que el código hace lo que realmente promete lo que se convierte en una gran opción a la hora de adquirir exploits en el mercado negro.

V.         Conclusion

Hoy en día hay un mercado fuerte y organizado que detecta vulnerabilidades y desarrolla exploits que luego son ofrecidos al mejor postor en la Deepweb, por lo general los principales consumidores de esta industria son los mismos gobiernos quienes conducen una guerra silenciosa pero muy contundente, donde el espionaje es la principal herramienta para llegar a la información.

Es evidente que los grandes gobiernos del mundo, disponen grandes recursos para hacer espionaje, este espionaje no conoce barreras geográficas ni lógicas, por lo tanto nadie es lo suficientemente grande ni lo suficientemente pequeño para librarse del espionaje mundial.

Hay un gigantesco mundo detrás del internet que normalmente no conocemos el cual es llamado la deepweb, se cree que casi el 70% del tráfico que se maneja en internet, hace parte de esta red oculta, donde cada año más personas se suman ya sea para ofrecer sus servicios o para consumir los mismos.

Ya hoy en día no es necesario ser un gran programador para vulnerar un sistema, solo hace falta saber dónde adquirir los exploits que explotan las diferentes vulnerabilidades y de qué forma utilizarlo, lo que hace más vulnerable a la sociedad consumidora de tecnología de la información de hoy en día.

Ningún sistema es totalmente seguro sin embargo hay sistemas que son menos vulnerables que otros y por lo tanto sus explotaciones son más costosas en los mercados underground, lo anterior hace necesario que se tome conciencia del uso de las tecnologías de la información que consumimos ya que en un mundo donde todo es vulnerable, las probabilidades juegan en contra de los sistemas menos seguros.

Hay una moneda digital que está dando pasos agigantados y que está siendo utilizada como medio indispensable para llegar a comprar código malicioso, lo anterior nos indica que las tecnologías de la información han cambiado tanto al mundo que hasta en la forma de concebir la economía está llegando, estos cambios económicos tarde o temprano terminaran afectando a las monedas tradicionales del mundo, sobre todo las monedas de las grandes naciones.

El negocio negro de la fabricación, compra y venta de exploits es más lucrativo que los negocios ilegales tradicionales como lo son el contrabando, la pornografía, el narcotráfico entre otros, lo que amplía las probabilidades de que este negocio siga su constante de crecimiento acelerado en el corto tiempo.

REFERENCIAS

[1]     ISACA, “Manual de preparacion al examen CISM 2014,” Estados Unidos de America, 12° Edicion año 2014 ISACA, pagina 277

[2]     https://es.wikipedia.org/wiki/Exploit

[3]     https://es.wikipedia.org/wiki/Mercado_negro

[4]     https://es.wikipedia.org/wiki/Vulnerabilidad#En_inform.C3.A1tica

[5]     https://es.wikipedia.org/wiki/Internet_profunda

[6]     El Heraldo, “Los niveles de la internet profunda”, Infografias, Diciembre 1 2013, http://www.elheraldo.co/infografias/los-niveles-de-la-internet-profunda-134361

[7]     https://es.wikipedia.org/wiki/Bitcoin

[8]     http://www.securityartwork.es/2015/05/21/organizacion-dentro-del-mercado-negro/

[9]     Revista Forbes, “Shopping For Zero-Days: “A Price List For Hackers,  Secret Software Exploits “, Marzo 23 2012, Edicion Web, http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/