Se busca hacker. Salario: 20 millones de dólares. Garantizamos confidencialidad (sobre todo la nuestra).
Ahora el hacking es un negocio legal que mueve millones.
Un nuevo actor desde los Emiratos Árabes Unidos ha sacudido el mercado cerrado de vulnerabilidades. La empresa Advanced Security Solutions, que se lanzó en agosto, anunció que está dispuesta a pagar hasta 20 millones de dólares por herramientas para hackear teléfonos inteligentes. Se trata de los llamados zero-day — errores en el software que son desconocidos para el desarrollador y, por tanto, no tienen correcciones. Estos desarrollos son especialmente demandados por organismos encargados de inteligencia, ciberoperaciones y agencias de seguridad.
En el sitio de la organización se afirma que colabora con más de 25 gobiernos y fuerzas de seguridad en todo el mundo. Aseguran que sus empleados tienen más de 20 años de experiencia en unidades de élite de inteligencia y compañías militares privadas. Sin embargo, no se revela quién es el inversor, el propietario ni la dirección, ni a qué países la empresa está dispuesta a suministrar sus productos. La propia compañía tampoco facilitó comentarios.
Advanced Security Solutions publica precios que superan las ofertas de sus competidores. Por una herramienta universal para infiltrarse en cualquier sistema móvil la empresa promete 20 millones de dólares. Se indican por separado cantidades para plataformas concretas:
-
$15 millones para Android y iOS,
-
$10 millones para Windows,
-
$5 millones para Chrome,
-
$1 millón para Safari y Microsoft Edge.
-
Para los mensajeros WhatsApp, Signal y Telegram hay recompensas de hasta $2 millones.
Tarifas en el sitio de Advanced Security Solutions (Advanced Security Solutions)
Precios similares ya se han visto en el mercado, pero principalmente ofrecidos por actores excepcionales. La empresa Operation Zero anteriormente ofreció sumas parecidas. Operation Zero también prometió $1,5 millones por un exploit que no requiere acción por parte del usuario (0-click RCE) y $500 mil por una vulnerabilidad cuya activación requiere una acción, por ejemplo abrir un mensaje (1-click RCE). Las ofertas abarcan todas las versiones de Telegram — Android, iOS y Windows.
La historia del mercado muestra que los precios de las vulnerabilidades han subido con rapidez. En 2015 la empresa Zerodium fue la primera en publicar abiertamente su lista de precios y pagó hasta un millón de dólares por un exploit contra iPhone. En 2018 irrumpió en la escena Crowdfense con una oferta de tres millones. En 2024 Crowdfense elevó las apuestas a 7 millones para iOS y 5 millones para Android, y por vulnerabilidades en los populares mensajeros WhatsApp y Telegram ofreció 8 y 4 millones respectivamente.
Con el aumento de la complejidad técnica de la protección de los dispositivos modernos, el coste de los exploits solo aumenta. Hoy en día este tipo de operaciones se ha convertido en inversiones de alto riesgo, donde cada hallazgo exitoso puede producir decenas de millones. Al mismo tiempo, los propios investigadores expresan dudas sobre la transparencia de los nuevos actores. Una fuente anónima familiarizada con el mercado señaló que las cantidades anunciadas se ajustan a la realidad, pero que él no trabajaría con una compañía que oculta a sus propietarios y clientes.