\n<\/p>\n
Herramientas que permiten<\/span> Los piratas inform\u00e1ticos del gobierno para acceder a iPhones y tel\u00e9fonos Android, software popular como los navegadores Chrome y Safari, y aplicaciones de chat como WhatsApp e iMessage, valen ahora millones de d\u00f3lares, y su precio se ha multiplicado en los \u00faltimos a\u00f1os a medida que estos productos se vuelven m\u00e1s dif\u00edciles de acceder. cortar a tajos.<\/p>\n El lunes, la startup Crowdfense public\u00f3 su lista de precios actualizada para estas herramientas de pirater\u00eda, que com\u00fanmente se conocen como \u201cd\u00eda cero\u201d, porque se basan en vulnerabilidades sin parches en software que son desconocidas para los fabricantes de ese software. Empresas como Crowdfense y uno de sus competidores, Zerodium, afirman adquirir estos d\u00edas cero con el objetivo de revenderlos a otras organizaciones, generalmente agencias gubernamentales o contratistas gubernamentales, que afirman que necesitan herramientas de pirater\u00eda para rastrear o espiar a los delincuentes.<\/p>\n Crowdfense ahora ofrece entre $ 5 y $ 7 millones por d\u00edas cero para ingresar a iPhones, hasta $ 5 millones por d\u00edas cero para ingresar a tel\u00e9fonos Android, hasta $ 3 millones y $ 3,5 millones para Chrome y Safari de d\u00eda cero respectivamente, y $ 3 millones. a 5 millones de d\u00f3lares para los d\u00edas cero de WhatsApp e iMessage.<\/p>\n En su lista de precios anterior, publicada en 2019, los pagos m\u00e1s altos que ofrec\u00eda Crowdfense eran de 3 millones de d\u00f3lares para los d\u00edas cero de Android e iOS.<\/p>\n El aumento de los precios se produce cuando empresas como Apple, Google y Microsoft est\u00e1n dificultando la pirater\u00eda de sus dispositivos y aplicaciones, lo que significa que sus usuarios est\u00e1n mejor protegidos.<\/p>\n \u00abDeber\u00eda ser m\u00e1s dif\u00edcil a\u00f1o tras a\u00f1o explotar cualquier software que estemos usando, cualesquiera que sean los dispositivos que estemos usando\u00bb, dijo Dustin Childs, jefe de concientizaci\u00f3n sobre amenazas en Trend Micro ZDI. A diferencia de CrowdFense y Zerodium, ZDI paga a los investigadores para que adquieran d\u00edas cero y luego los informa a las empresas afectadas con el objetivo de solucionar las vulnerabilidades.<\/p>\n \u00abA medida que los equipos de inteligencia de amenazas como el de Google descubren m\u00e1s vulnerabilidades de d\u00eda cero y las protecciones de la plataforma contin\u00faan mejorando, el tiempo y el esfuerzo requeridos por los atacantes aumentan, lo que resulta en un aumento en el costo de sus hallazgos\u00bb, dijo Shane Huntley, jefe de Grupo de an\u00e1lisis de amenazas de Google, que rastrea a los piratas inform\u00e1ticos y el uso de d\u00edas cero.<\/p>\n En un informe del mes pasado, Google dijo que vio a los piratas inform\u00e1ticos utilizar 97 vulnerabilidades de d\u00eda cero en estado salvaje en 2023. Los proveedores de software esp\u00eda, que a menudo trabajan con corredores de d\u00eda cero, fueron responsables del 75 por ciento de los d\u00edas cero dirigidos a productos de Google y Android. seg\u00fan la empresa.<\/p>\n Las personas dentro y alrededor de la industria del d\u00eda cero coinciden en que la tarea de explotar las vulnerabilidades es cada vez m\u00e1s dif\u00edcil.<\/p>\n David Manouchehri, un analista de seguridad con conocimiento del mercado de d\u00eda cero, dijo que \u201cobjetivos dif\u00edciles como el Pixel de Google y el iPhone se han vuelto m\u00e1s dif\u00edciles de piratear cada a\u00f1o. Espero que el costo siga aumentando significativamente con el tiempo\u201d.<\/p>\n \u00abLas mitigaciones que los proveedores est\u00e1n implementando est\u00e1n funcionando y est\u00e1n haciendo que todo el comercio se vuelva mucho m\u00e1s complicado y requiera mucho m\u00e1s tiempo, y esto claramente se refleja en el precio\u00bb, dijo Paolo Stagno, director de investigaci\u00f3n de Crowdfense. Tecnolog\u00edaCrunch.<\/p>\n \t\t\u00bfConoce m\u00e1s corredores de d\u00eda cero? \u00bfO sobre los proveedores de software esp\u00eda? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electr\u00f3nico. Tambi\u00e9n puede ponerse en contacto con TechCrunch a trav\u00e9s de SecureDrop.\t<\/p><\/div>\n Stagno explic\u00f3 que en 2015 o 2016 solo un investigador pudo encontrar uno o m\u00e1s d\u00edas cero y desarrollarlos en un exploit completo dirigido a iPhones o Android. Ahora, dijo, \u201cesto es casi imposible\u201d, ya que requiere un equipo de varios investigadores, lo que tambi\u00e9n provoca que los precios suban.<\/p>\n Crowdfense ofrece actualmente los precios m\u00e1s altos conocidos p\u00fablicamente hasta la fecha fuera de Rusia, donde una empresa llamada Operaci\u00f3n Cero anunci\u00f3 el a\u00f1o pasado que estaba dispuesta a pagar hasta 20 millones de d\u00f3lares por herramientas para piratear iPhones y dispositivos Android. Sin embargo, los precios en Rusia pueden estar inflados debido a la guerra en Ucrania y las sanciones posteriores, que podr\u00edan desalentar o impedir directamente que la gente trate con una empresa rusa.<\/p>\n Fuera de la vista del p\u00fablico, es posible que los gobiernos y las empresas est\u00e9n pagando precios a\u00fan m\u00e1s altos.<\/p>\n \u00abLos precios que Crowdfense ofrece a los investigadores para Chrome individuales [Remote Code Execution] y [Sandbox Escape] Los exploits est\u00e1n por debajo de la tasa de mercado de lo que he visto en la industria del d\u00eda cero\u201d, dijo Manouchehri, quien anteriormente trabaj\u00f3 en Linchpin Labs, una startup que se centr\u00f3 en desarrollar y vender d\u00edas cero. Linchpin Labs fue adquirida por el contratista de defensa estadounidense L3 Technologies (ahora conocido como L3Harris) en 2018.<\/p>\n Alfonso de Gregorio, fundador de Zeronomicon, una startup con sede en Italia que adquiere d\u00edas cero, estuvo de acuerdo y le dijo a TechCrunch que los precios \u201cciertamente\u201d podr\u00edan ser m\u00e1s altos.<\/p>\n Los d\u00edas cero se han utilizado en operaciones policiales aprobadas por los tribunales. En 2016, el FBI utiliz\u00f3 un d\u00eda cero proporcionado por una startup llamada Azimuth para ingresar al iPhone de uno de los tiradores que mataron a 14 personas en San Bernardino, seg\u00fan The Washington Post. En 2020, Placa base revel\u00f3 que el FBI, con la ayuda de Facebook y una empresa externa an\u00f3nima, utiliz\u00f3 un d\u00eda cero para localizar a un hombre que luego fue condenado por acosar y extorsionar a ni\u00f1as en l\u00ednea.<\/p>\n Tambi\u00e9n ha habido varios casos en los que supuestamente se han utilizado programas de d\u00eda cero y software esp\u00eda para atacar a disidentes de derechos humanos y periodistas en Etiop\u00eda, Marruecos, Arabia Saudita y los Emiratos \u00c1rabes Unidos, entre otros pa\u00edses con malos antecedentes en materia de derechos humanos. Tambi\u00e9n ha habido casos similares de presuntos abusos en pa\u00edses democr\u00e1ticos como Grecia, M\u00e9xico, Polonia y Espa\u00f1a. (Ni Crowdfense, Zerodium ni Zeronomicon han sido acusados \u200b\u200balguna vez de estar involucrados en casos similares).<\/p>\n Los corredores de d\u00eda cero, as\u00ed como las empresas de software esp\u00eda como NSO Group y Hacking Team, a menudo han sido criticados por vender sus productos a gobiernos desagradables. En respuesta, algunos de ellos ahora se comprometen a respetar los controles de exportaci\u00f3n en un esfuerzo por limitar posibles abusos por parte de sus clientes.<\/p>\n Stagno dijo que Crowdfense sigue los embargos y sanciones impuestos por Estados Unidos, incluso si la empresa tiene su sede en los Emiratos \u00c1rabes Unidos. Por ejemplo, Stagno dijo que la empresa no vender\u00eda a Afganist\u00e1n, Bielorrusia, Cuba, Ir\u00e1n, Irak, Corea del Norte, Rusia, Sud\u00e1n del Sur, Sud\u00e1n y Siria, todos ellos incluidos en las listas de sanciones de Estados Unidos.<\/p>\n \u201cEstamos al tanto de todo lo que hace Estados Unidos\u201d, dijo Stagno, y agreg\u00f3 que si un cliente existente aparece en la lista de sanciones de Estados Unidos, Crowdfense lo abandonar\u00eda. \u201cQuedan excluidas todas las empresas y gobiernos sancionados directamente por Estados Unidos\u201d.<\/p>\n Al menos una empresa, el consorcio de software esp\u00eda Intellexa, est\u00e1 en la lista de bloqueo particular de Crowdfense.<\/p>\n \u00abNo puedo decirle si ha sido un cliente nuestro y si ha dejado de serlo\u00bb, dijo Stagno. \u00abSin embargo, en lo que a m\u00ed respecta, en este momento Intellexa no podr\u00eda ser cliente nuestro\u00bb.<\/p>\n En marzo, el gobierno de Estados Unidos anunci\u00f3 sanciones contra el fundador de Intellexa, Tal Dilian, as\u00ed como contra un socio comercial suyo, la primera vez que el gobierno impuso sanciones a personas involucradas en la industria del software esp\u00eda. Intellexa y su empresa asociada Cytrox tambi\u00e9n fueron sancionadas por Estados Unidos, lo que dificulta que las empresas, as\u00ed como las personas que la dirigen, sigan haciendo negocios.<\/p>\n Estas sanciones han causado preocupaci\u00f3n en la industria del software esp\u00eda, como inform\u00f3 TechCrunch.<\/p>\n Se ha informado que el software esp\u00eda de Intellexa se ha utilizado contra el congresista estadounidense Michael McCaul, el senador estadounidense John Hoeven y la presidenta del Parlamento Europeo, Roberta Metsola, entre otros.<\/p>\n De Gregorio, el fundador de Zeronomicon, se neg\u00f3 a decir a qui\u00e9n le vende la empresa. En su sitio, la empresa ha publicado un c\u00f3digo de \u00e9tica empresarial, que incluye examinar a los clientes con el objetivo de evitar hacer negocios \u201ccon entidades conocidas por abusar de los derechos humanos\u201d y respetar los controles de exportaci\u00f3n.<\/p>\n<\/p><\/div>\nCont\u00e1ctenos<\/h4>\n