Mercado Legal de Vulnerabilidades.

Autor.

Introducción:
El avance de la información y las comunicaciones digitales vía Internet han propuesto a las
grandes empresas de cualquier orden o rubro; una gama amplia de beneficios al tomar en
cuenta la vulnerabilidad de su organización y sistemas. Sin embargo, cabe señalar que los
aspectos cualitativos y cuantitativos en velocidad exhiben una compensación en un alto
grado o nivel de vulnerabilidades, en cualquiera de los contenidos digitales.
Desarrollo del Tema:
El mercado legal de las vulnerabilidades se ha vuelto cada día más interesante para las
personas que de alguna manera están involucradas en el medio informático digital, así
como en el área de la ciberseguridad, ya que la mayoría de empresas del orden de las Pyme,
no se encuentran debidamente protegidas a los ciberataques, los cuales les pueden concebir
grandes pérdidas económicas.
El mercado legal de las vulnerabilidades tiene su mayor afluencia en los concursos que
ofrecen premios económicos atractivos para todas aquellas personas con conocimientos
suficientes en el área de la informática y las comunicaciones capaces de atacar de manera
indiscriminada a los sistemas en proceso de evaluación, empresas como Google, Mozilla,
Apple, Adobe, por nombrar algunos de los más renombrados y conocidos; han sometido a
sus sistemas y software específico a ataques imperceptibles por parte de hackers para
encontrar el mayor número de vulnerabilidades para de esta manera poder legalmente
corregir esas “fallas” y no quedar expuestos de la misma manera legal ante una
vulnerabilidad no anticipada. Las empresas con línea de investigación avanzada en
ciberseguridad y vulnerabilidades prestan mucho cuidado al mismo, si bien por cuestiones
de marketing o bien por una actitud responsable ante la seguridad de sus usuarios.
Pero el marco legal de vulnerabilidades está más enfocado a la compraventa de dichas
vulnerabilidades y no solo se enfoca a empresas fabricantes de elementos de seguridad que
intentan darle un plus de valor a sus clientes o empresas dedicadas a la seguridad ofensiva,
además de los concursos abiertos para encontrar las vulnerabilidades existe empresas que
de manera discreta ofrecen recompensas económicas a toda aquella persona o empresa que
siguen otras estrategias para obtener beneficios dentro de un marco legal.
Además, cabe mencionar que no todo es cuestión monetaria de la misma manera existen
empresas que ofrecen gratificaciones de carácter público a todas aquellas personas o
empresas que de alguna manera les informaron de una vulnerabilidad y dicha gratificación
cae dentro del mercado legal, al no infringir las leyes del país donde se realiza la
investigación o descubrimiento de la o las vulnerabilidades.
Existe páginas web que contienen listados de empresas que forman parte de un mercado
legal de vulnerabilidades y que son de carácter público tanto el nombre de la empresa como
el giro legal de la misma.
En el mercado legal de las vulnerabilidades existe uno de los elementos mejor pagado, y
son los fallos Zero-day junto con sus respectivos exploits, una vez que fue lanzado el
sistema al mercado, se desata una carrera entre los desarrolladores para sacar un parche y
los piratas para poder el máximo beneficio económico al explotar dicho sistema sin realizar
una inversión económica al adquirir de manera legal dicho sistema.
El mercado negro también existe en esta área y genera ganancias multimillonarias para los
piratas cibernéticos, pero dentro del mercado legal los programas llamados Bug Bounty
ofrecen a los usuarios una cantidad de dinero a cambio de los exploits y la información de
la vulnerabilidad de Zero-day, con esto se pretende que el riesgo de ser víctima de estos
fallos o vulnerabilidades se menor que si se ingresa en el mercado negro al mejor postor.
Los auditores son los investigadores de carácter legal que pueden vender las
vulnerabilidades encontradas en los sistemas de empresas para que empresas
desarrolladoras generen el nuevo parche de dicho sistema y este tenga o una vulnerabilidad
menos.

hace un tiempo, se realizó un análisis sobre la perspectiva de vulnerabilidades, el número

de las mismas cayó durante 2010. Los desarrolladores como pagan a personas y
organizaciones para que encuentren y reporten vulnerabilidades descubiertas en sus
aplicaciones y/o servicios. Algunos grupos, como Zero-Day Initiative hacen lo mismo. Sin
embargo, las actividades desarrolladas por los hackers y cibercriminales son mucho más
lucrativas y con mayores beneficios.

Las vulnerabilidades pueden ser descubiertas y aprovechadas de dos maneras.

En primer lugar, para generar una reestructuración del dicho sistema por medio de un
parche.
Y en segundo lugar que los piratas tomen estas investigaciones publicadas de manera legal
y formal y estos las utilicen de manera no legal para generar una nueva amenaza.

Resulta más lucrativo, cuando piratas informáticos independientes descubren

vulnerabilidades sin el conocimiento de estos investigadores y hackers. Estas
vulnerabilidades pueden ser vendidas y compradas. Un solo trabajo de desarrollo que
permita aprovechar vulnerabilidades de día cero puede tener un costo elevado para la
empresa dueña de dicho sistema. El precio puede subir aún más si la vulnerabilidad se
encuentra en las aplicaciones más populares, como Internet Explorer (IE). En todo caso, no
hay mercado de vulnerabilidades para aplicaciones rara vez utilizadas.
 En primer punto, las vulnerabilidades se registran a partir de la forma en que están
construidas las aplicaciones que se encuentran en ejecución y/o, por errores en la
configuración de los servicios y servidores que están relacionados con el funcionamiento de
esas aplicaciones.
El segundo punto tiene que ver con la “comunicación insegura”. Contra esto es necesaria la
utilización de protocolos de encriptación de la comunicación, como por ejemplo SSL
(Secure Sockets Layer), TLS (Transport Layer Security) y VPN (virtual prívate networks),
que hacen que la información fluya encriptada y segura, haciendo difícil el apropiarse de
ella durante su transmisión. Otro punto donde se producen vulnerabilidades es en el origen
mismo de los datos, normalmente una PC o cualquier dispositivo móvil o fijo, desde el cual
se envía información. En el ámbito logístico se puede dar el caso de que a través de una
Tablet o un celular se transmita información sobre los detalles del viaje de un camión
(carga, destino, recorrido, etc.), y si estos dispositivos no están debidamente protegidos se
vuelven un punto vulnerable. El uso de estos dispositivos móviles se relaciona con el
concepto de las “fronteras difusas de una organización”, ya que antes una empresa estaba
circunscripta a su espacio físico, a su centro de cómputos y a las computadoras que estaban
dentro de la organización, mientras que, en la actualidad, con la incorporación de la
tecnología móvil, la frontera de la empresa se extiende al lugar donde se encuentren estos
dispositivos funcionando. Estas fronteras difusas amplifican los riesgos y abren puertas a
potenciales ataques.

Conclusión:
El mercado legal de las vulnerabilidades está aún en proceso de crecimiento, ya que como
el mundo de la información digital está en constante evolución, los piratas y la
ciberdelincuencia están a la orden del día de la misma manera que los grupos de
investigadores y desarrolladores de parches para sistemas de protección de los sistemas, así
como de la información. El mercado legal cada día será más especializado a medida que los
piratas y ciberdelincuentes evolucionen en sus prácticas. La manera legal de como el
mercado de las vulnerabilidades actué dependerá de que tan sofisticado sea la intrusión y el
daño a subsanar.
Bibliografía.