Vulnerabilidades zero-day: qué son, de dónde vienen y cómo se comercian

Vulnerabilidades zero-day: qué son, de dónde vienen y cómo se comercian

¿Qué une a los servicios especiales gubernamentales, a los desarrolladores de TI solitarios y a las grandes corporaciones tecnológicas? Correcto: el interés por las vulnerabilidades que nadie conoce. En el mundo de la ciberseguridad no hay palabra más mágica que «zero-day» — vulnerabilidad de día cero. Algunos las buscan por lucro, otros por fama, y otros simplemente por puro vandalismo (o por intereses nacionales, según quién lo mire).

Las vulnerabilidades zero-day son la verdadera «moneda» del subsuelo digital, objeto de caza para los hackers y trofeo invaluable para las empresas que quieren proteger su producto. Se escriben leyendas y se hacen películas sobre ellas, y en los mercados negros se venden por cientos de miles (y a veces por millones) de dólares. Pero, ¿qué se esconde realmente detrás de este término? ¿Por qué por algunos fallos pagan más que por un piso en Moscú? ¿Quiénes son las personas que los encuentran —y, sobre todo, es posible protegerse?

En este artículo propongo aclarar: qué es una vulnerabilidad zero-day, cómo aparecen, quién y por qué las compra, dónde se buscan, cómo se comercia con ellas y por qué este tema inquieta tanto. Además, veremos el trasfondo —las personas que hacen negocio con esto y las que corren el riesgo de quedarse sin trabajo si el fallo sale a la luz.

¿Qué es una vulnerabilidad zero-day y por qué da miedo (o no)?

Empecemos por la terminología. Zero-day (día cero) es una vulnerabilidad —un error o una brecha en un programa— de la que los desarrolladores no saben (o fingen no saber) todavía. O saben, pero aún no han publicado un parche. El nombre viene de la idea de que los defensores (y, en general, todos salvo el descubridor) tienen cero días para prepararse. Es decir, el fallo tiene cero días desde su detección. La clave está en la sorpresa y la rapidez.

  • Zero-day — una vulnerabilidad desconocida para la que aún no existe parche.
  • Se puede explotar para atacar mientras el desarrollador no conoce el problema y no lo corrige.
  • Si lo descubres primero — te haces rico; si lo descubres tarde — lo sufres.

A diferencia de los fallos que se reportan a tiempo (por ejemplo, a través de HackerOne o Bugcrowd), el zero-day existe en secreto. Y eso es lo que aterra: si la vulnerabilidad es desconocida, nadie sabe si ya se está llevando a cabo un ataque.

Como ejemplo: si en la cerradura de la puerta de tu apartamento existiera un mecanismo oculto que permite abrir la puerta sin llave y tú no lo supieras — eso sería un zero-day. Imagina cuántas personas querrían aprovechar ese «secreto».

¿De dónde vienen las vulnerabilidades zero-day? Origen de los fallos y quién los busca

La vulnerabilidad no aparece de la nada. Alguien la escribe, alguien la encuentra, alguien la usa en silencio. A veces parece que el zero-day es una especie de magia negra accesible solo a la élite. Pero, al fin y al cabo, es simplemente el resultado de un error humano (o de copiar y pegar sin cuidado).

  • Desarrolladores que escriben código complejo — la probabilidad de cometer errores es alta, especialmente en programas populares.
  • Ingenieros inversos e investigadores de seguridad — quienes analizan metódicamente programas de terceros, como si fueran un rompecabezas.
  • Hackers solitarios, a veces incluso estudiantes, que experimentan con software y hallan lo inesperado.
  • Grupos de ciberdelincuencia — buscan activamente agujeros para usarlos con fines criminales.
  • Estructuras estatales y servicios de inteligencia que buscan zero-day para operaciones de espionaje y «armamento cibernético».

La búsqueda no siempre es romántica. A menudo es un trabajo minucioso, casi científico: análisis de código fuente, fuzzing (pruebas automatizadas), pruebas extremas e incluso intuición. En resumen, el zero-day es una «mezcla explosiva» de suerte, experiencia y, a veces, noches sin dormir.

Un dato curioso: la mayoría de las vulnerabilidades son halladas no por supervillanos, sino por entusiastas comunes. Simplemente tenían un objetivo y un poco más de paciencia que los demás.

¿Dónde y cómo se venden las vulnerabilidades zero-day?

Ahora viene lo más interesante. Cuando tienes algo exclusivo, surge la pregunta natural: «¿A quién vendérselo?» Y ahí el zero-day entra en un mundo de comercio —tanto legal como no tanto.

Mercado blanco: programas de bug bounty y canales oficiales

Muchas grandes empresas no escatiman y están dispuestas a pagar honestamente por una vulnerabilidad encontrada. Existen plataformas ( HackerOne, Bugcrowd, Zerodium) donde se puede ganar dinero legalmente (y a veces bastante) por un hallazgo. Google, Facebook, Microsoft — todas ofrecen recompensas, a veces de cantidades de seis cifras.

  • Reporte oficial, procedimiento de verificación, pago — y tú eres el héroe (a veces de forma anónima).
  • Máxima transparencia y sin problemas legales.

En el mercado «blanco» normalmente pagan solo por vulnerabilidades que se pueden corregir sin riesgos reputacionales o legales para la compañía. Si el fallo es especialmente peligroso, pero la empresa no quiere hacerlo público, pueden proponerse «negociaciones».

Mercado gris: brokers y acuerdos privados

Aquí la cosa se complica. En la zona gris actúan brokers que median entre el descubridor y el comprador. A menudo son empresas privadas dedicadas a la ciberinteligencia o a la provisión de herramientas para investigaciones. Por ejemplo, Zerodium o la israelí NSO Group. Compran zero-day, los perfeccionan y los venden a estructuras estatales o servicios especiales.

  • Pagan mucho — a veces hasta un millón de dólares por un fallo en iOS o Windows.
  • No siempre sabes quién es el comprador real. A muchos no les importa.

Mercado negro: darknet, foros y «subastas oscuras»

Aquí reina el underground. La venta se realiza en foros cerrados, en la darknet y por contactos personales. El anonimato es vital: por buenas vulnerabilidades (por ejemplo, para eludir la autenticación de dos factores en WhatsApp o un exploit para un navegador) se paga mucho, pero el riesgo es máximo.

  • Para entrar a este mercado suele requerirse invitación y reputación — nadie vende un fallo al primer desconocido.
  • Pagos en criptomonedas, encuentros personales, intercambios tipo «efectivo en un sobre» — y poca o ninguna elegancia.
  • Fraudes, estafas y dobles ventas son comunes.

Sobre cómo comercian realmente con zero-day en la darknet escriben bien The Record y Krebs on Security. Y, a veces, esas operaciones están bajo control de las autoridades — eso ya es otro tipo de historia.

¿Quién compra zero-day y para qué?

No, no son siempre villanos de películas de espionaje. Los compradores de zero-day forman un conjunto heterogéneo:

  • Estructuras estatales (inteligencia, policía) — para ciberespionaje, intercepción de datos e investigaciones.
  • Ciberdelincuentes — para atacar empresas, robar datos o extorsionar.
  • Grandes corporaciones — para protegerse o para obtener ventaja competitiva.
  • Detectives privados, periodistas, investigadores — a veces para investigaciones, a veces para publicidad personal.

Lo irónico es que muchas estructuras estatales compran zero-day de forma oficial — a través de brokers y empresas que operan en la frontera entre la ley y la ética. Casos en que la vulnerabilidad se usa «según lo previsto» no son raros. Por ejemplo, el conocido Pegasus de NSO Group es un ejemplo claro del uso de zero-day para espiar a disidentes. Los periodistas de Vice han documentado casos en los que esas herramientas «se filtraron» y quedaron accesibles para otros actores.

¿Cuánto vale un zero-day y por qué es tan caro?

Los precios de los zero-day son todo un mundo, y a veces una lotería. Depende de:

  • Tipo de vulnerabilidad (local o remota; con privilegios de administrador o de usuario).
  • Popularidad del producto objetivo (cuanto más popular Windows, más caro el fallo).
  • Detalles de la explotación: qué tan fácil es usarlo, si la víctima debe hacer clic en un enlace o si ocurre «sin interacción».
  • Nivel de exclusividad — si la vulnerabilidad la conoce solo usted, el precio sube.

En promedio, fallos para sistemas operativos móviles pueden costar desde $50,000 hasta $2,500,000 (véase la lista de precios de Zerodium Price List). Fallos para mensajeros, navegadores y VPN están en rangos similares. Las vulnerabilidades locales son más baratas; las remotas, más caras. Algunos fallos son incalculables (por ejemplo, si permiten acceso a infraestructura crítica).

En el mercado negro el precio suele ser más alto (y el riesgo también). Pero a veces los compradores pagan por la «exclusividad»: pagar para que la vulnerabilidad no se venda a nadie más.

Historias reales: cómo los zero-day cambiaron el mundo

Para que el artículo no quede como «aburrimiento para técnicos», aquí hay ejemplos reales de cómo los zero-day llegaron a las noticias e incluso cambiaron el curso de la historia:

  • Stuxnet — quizás el exploit zero-day más conocido. Un conjunto de malware que a principios de los años 2010 dejó fuera de servicio centrifugadoras iraníes para el enriquecimiento de uranio. Se usaron varios fallos desconocidos en Windows y Siemens — y fue la primera vez que un ciberataque afectó directamente a infraestructura física.
  • Pegasus — software espía de NSO Group que utilizó zero-day en iOS y Android para espiar a periodistas, políticos y defensores de derechos humanos. El escándalo continúa.
  • WannaCry y NotPetya — famosos ransomwares que explotaron la vulnerabilidad EternalBlue, filtrada desde el arsenal de la NSA de EE. UU. El alcance fue global y las pérdidas alcanzaron miles de millones de dólares.

Es importante entender que un zero-day no siempre es un arma de destrucción masiva. A veces es un dolor de cabeza para un administrador, y a veces es un «cisne negro» que cambia las reglas del juego.

¿Se puede proteger uno contra zero-day? Consejos prácticos

No existe una protección absoluta, pero esto ayuda a reducir el riesgo:

  • Actualice todo el software con regularidad. Aunque suene trivial, la mayoría de los ataques aprovechan versiones desactualizadas.
  • Use antivirus y sistemas de detección de intrusiones (IDS/IPS). No son la solución total, pero pueden detectar ciertos ataques por comportamientos sospechosos.
  • No abra adjuntos sospechosos ni haga clic en enlaces extraños, aunque el remitente parezca familiar.
  • Limite los privilegios de los usuarios y utilice autenticación multifactor. Si un fallo se explota, el daño será menor.
  • Siga las publicaciones en CVE y SecurityLab para estar al tanto de las amenazas actuales.

Para las empresas: realicen programas internos de bug bounty, contraten auditorías de seguridad y no duden en involucrar a «hackers éticos» (white hats).

Y si piensa que ha encontrado un fallo de nivel zero-day — es mejor no jugar a ser espía y contactar con profesionales. El dinero está bien, pero dormir sin paranoia vale más.

Conclusión: zero-day — mitos, realidad y un poco de ironía

En el mundo de la ciberseguridad, el zero-day es tanto una historia aterradora como un sueño. Unos creen que nunca les afectará (spoiler: se equivocan), otros lo ven como negocio o una vía para hacerse famosos. En esencia, el zero-day es la consecuencia de la imperfección del software y del factor humano.

Mientras haya personas que escriban código, habrá errores. Mientras exista demanda de fallos exclusivos, habrá quienes los busquen, vendan y compren. Pero no hay que alarmarse. Sorprendentemente, para la mayoría de la gente la principal amenaza no es el zero-day, sino el viejo phishing o una actualización pendiente.

Y en serio: trate la seguridad como un deporte: entrene regularmente (lea noticias, aprenda, revise sus sistemas), no se confíe y no piense «ese fallo no es para mí». Quién sabe, quizá algún día usted descubra ese fallo de un millón.

Y, por último — si encuentra un fallo, no lo publique de inmediato en la darknet. Hay muchas formas legales de monetizar su descubrimiento y contribuir a un mundo un poco más seguro.

Alt text
article-title

Deni Haipaziorov