Suelen trabajar en la sombra, al abrigo de las noticias que se publican en medios y redes sociales pero, a veces, el nombre de alguna de estas compañías salta a la luz pública. Acaba de ocurrirle a NSO Group, a quien Facebook acusó recientemente de estar detrás de un fallo en WhatsApp que permitía espiar a los usuarios solo con hacerles una llamada perdida. La compañía señalada lo negó, como es habitual. Pero su caso ha sacado a la luz el oscuro mundo de las ciberarmas, un negocio millonario en el que participan empresas, Gobiernos y hackers.
Este tipo de compañías mantienen un perfil bajo. Desarrollan herramientas para hackear aplicaciones, móviles y sistemas operativos. Pero se mueven en un terreno legal. Su espacio natural no es la llamada Dark Web, donde se comercia bajo el anonimato y donde los clientes pueden ser bandas criminales. Su clientela es mucho más selecta. Gobiernos, fuerzas de seguridad del Estado y agencias de inteligencia les compran ciberarmas.
¿Qué Gobiernos? En Zerodium tienen una opinión versada sobre el tema. Esta empresa desarrolla sus propias ciberarmas desde 2015, aunque se puede considerar heredera de la francesa Vupen, de los mismos fundadores y que empezó en el negocio en 2004. El Ceo de Zerodium, Chaouki Bekrar, es taxativo: “Si cualquier representante de un país desarrollado niega tener capacidades ofensivas, él o ella está mintiendo”.
Pero el nombre de los clientes no se concreta. A no ser que haya una filtración, como le ocurrió a la italiana Hacking Team, a quien le sustrajeron 400 GB de información confidencial. Entre los documentos figuraban compradores como el FBI, la DEA, Gobiernos de varios países y también, en España, el CNI y la Policía Nacional.
“Si cualquier representante de un país desarrollado niega tener capacidades ofensivas, está mintiendo”
El discurso de Zerodium puede pasar por el de cualquier empresa de software. “Desarrollamos y compramos exploits para las plataformas, aplicaciones y dispositivos más populares. Damos soporte a Windows, Linux, Mac, iOS, Android y también a cualquier tipo de servidor o aplicación de escritorio”, comenta Bekrar en declaraciones a EL PAÍS a través del correo electrónico. Llama la atención lo natural de la expresión “dar soporte a Windows”, cuando sus productos sirven para atacar a este sistema operativo.
“Nuestros clientes son Gobiernos occidentales en Europa y Norteamérica y usan nuestras capacidades para su seguridad nacional, solo para luchar contra el terrorismo y el crimen organizado o conducir operaciones de inteligencia, como siempre han hecho desde antes de Internet”, matiza Bekrar.
Zerodium también compra vulnerabilidades a terceros para revenderlas. Yago Hansen, un hacker español con experiencia en el sector, explica cómo funciona el intercambio: “Tú le reportas la vulnerabilidad a estas empresas y ellas la valoran según la capacidad de explotación que tenga”. Cuando la empresa adquiere la vulnerabilidad la convierte en un exploit, un programa malicioso para aprovechar el fallo descubierto, y la incorpora a su oferta comercial.
“Las que mejor se pagan son las de smartphones, porque son las que más les interesan a Gobiernos y servicios de inteligencia”, explica Hansen. “La información que almacenas en un smartphone, hoy en día, es mayor que la que almacenas en tu ordenador personal”. También las vulnerabilidades de WhatsApp o Telegram se encuentran entre las más valoradas, así como las de ejecución remota de código. Estas últimas son capaces de introducir un troyano de forma remota, a través de una llamada, por ejemplo.
Por estas herramientas se pagan cantidades importantes. Desde luego mucho más de lo que pagan las empresas a quienes se les ha descubierto el fallo. Hansen toma como referencia la vulnerabilidad de WhatsApp, sobre la que Facebook señaló a NSO Group. En una estimación a vuelo de pájaro, “ponle que en el mejor de los casos te puedan dar 10.000 euros [en Facebook] por una vulnerabilidad como esa, mientras que ellos te podrían dar mínimo 100.000 euros”.
Puede que incluso más. Hace unos meses Zerodium anunció que buscaba vulnerabilidades de ejecución remotaen WhatsApp, iMessage o para SMS. Estaba dispuesta a pagar hasta un millón de dólares (893.022 euros) por un fallo de este tipo. Por una vulnerabilidad que permitiera hacer jailbreak [conseguir acceso] al iPhone, también en ejecución remota, ofrecía la friolera de dos millones de dólares (1.786.044 euros).
Un reflejo del orden mundial
Yago condena las prácticas masivas, como el espionaje indiscriminado de la NSA que sacó a la luz Edward Snowden. Defiende que estos ataques se dirigen normalmente contra criminales y terroristas. Aunque reconoce que siempre existe el riesgo de que las vulnerabilidades sirvan para controlar a activistas o grupos políticos. En México, un programa desarrollado por el NSO Group se destinó a vigilar a periodistas, activistas y políticos de la oposición.
También preocupa que estas ciberarmas caigan en malas manos, si bien Hansen enfatiza que las empresas que se dedican a este negocio están vigiladas: “Los propios Gobiernos que les compran se encargan de vigilar a quién están vendiendo. Es muy parecido al mercado de armas convencional. De hecho, la licencia que necesitan este tipo de compañías para operar es la misma. Es material de doble uso (civil y militar)”.
Yago sabe de lo que habla. Necesitó pedir este permiso en España porque durante algunos años tuvo una empresa que desarrollaba productos de interceptación de comunicaciones. Exportaban a una corporación israelí. “Nos controlaban a quién le vendíamos, nos regíamos por tratados internacionales. Sabíamos que estábamos vigilados por todos lados”.
Aunque a primera vista existen diferencias con la industria armamentística tradicional. Félix Arteaga, investigador en seguridad del Real Instituto Elcano, explica que la venta de armas es una industria muy gubernamentalizada, donde unas grandes compañías sirven a los Estados. “En el mercado de la ciberseguridad no está tan claro. Es muy difícil monitorizar qué se hace con esas ciberarmas aparte de venderlas a los Estados”, dice este experto.
Los fallos que mejor se pagan son los de los ‘smartphones’
“Antes solo estaban las grandes empresas privadas que fabricaban armamento”, indica Arteaga. “Ahora hay todo tipo de empresas, como consultoras, que prestan servicios de ciberseguridad, hacen análisis de riesgo, desarrollan tecnologías de protección, de ataque. Esto tiene un valor de mercado para los Estados”.
La joya de esta industria son las vulnerabilidades de día cero o zero-day. Consisten en un fallo que no se conoce públicamente. Y mientras sea así los responsables —del sistema operativo, de la aplicación— no las corrigen. Son productos perecederos, porque al cabo de unos meses, o a lo sumo algún año, se acaban descubriendo. “Cuando pasa de ser un zero-day a una vulnerabilidad conocida ya no tiene tanto uso”, señala Hansen. “Se sigue utilizando porque siempre queda gente con teléfonos desactualizados y aplicaciones desactualizadas, pero pierde el interés y baja el precio”.
A nivel geopolítico, el comercio de estas herramientas de hacking sigue la estructura de los bloques internacionales. “En el momento que la tecnología es objeto de confrontación se busca un bloqueo, como el que Estados Unidos quiere imponer ahora a la transferencia de tecnologías sensibles hacia otros países. Y el ámbito de la ciberseguridad es de los más sensibles”, detalla Arteaga.
Estados Unidos y Europa son un bloque. Rusia y China forman cada uno el suyo, mientras Corea del Norte es otro. Obtienen ciberarmas desarrollándolas internamente o comprándolas a las empresas privadas, que se limitan a vender a uno solo de los bloques. “Poco a poco lo que se pide es que esto se acabe regulando, igual que se reguló, aunque con limitaciones, el comercio de armas”, reflexiona Arteaga. “Lo que pasa es que a ninguno de los grandes países que tiene esta capacidad ofensiva le interesa una regulación”.