• Tweet

El número de vulnerabilidades de software descubiertas durante el año 2010 puede ser menor al del año anterior, pero aún así, éstas aportan dinero a sus descubridores.

Dependiendo de si el investigador es un whitehat (hacker ético) o un blackhat (hacker malicioso) y de en qué software fue encontrada la vulnerabilidad, ésta será revelada a sus desarrolladores, como Google, Mozilla, entre otros que han establecido programas de recompensas por huecos de seguridad descubiertos -por esta encomienda se recibe un pago entre $500 y $3, 133.70 dólares-, o bien, el mejor postor en el mercado negro en línea en donde las organizaciones criminales buscan fallas zero-day para ayudarse en el lanzamiento de su próximo ataque.

De acuerdo a Roland Dela Paz, investigador de TrendMicro, incluso la simple idea de una posible vulnerabilidad podría algunas veces venderse a buen precio en el mercado undergroud del crimen cibernético.

Por supuesto, si la vulnerabilidad se encuentra en una aplicación muy popular como el navegador Internet Explorer o Adobe Reader (PDF), el precio de un exploit puede incluso llegar a venderse en $100, 000 dólares.

Una vez que la vulnerabilidad y el código de explotación llegan a ser del dominio público, a menudo son incorporados en varios kits de exploits que se pueden comprar en los foros ilícitos que sirven como sitios de mercadeo.

Por ejemplo, el popular kit de exploits Eleonore incorpora exploits que se dirigen a un gran número de aplicaciones como: Internet Explorer, Firefox, Opera, Flash Player, Java, Adobe Acrobat y Reader, entre otros.

También están siendo usados para mejorar y ampliar las redes de bots, las cuales a su vez los hacen más eficaces al momento de instalar código malicioso.