En diciembre pasado un grupo de investigadores de Trend Micro infiltró un mercado de subastas de malware en el que se ofrecía para la venta un exploit para una vulnerabilidad recientemente descubierta (0day vuln) en Windows Vista. Su precio estaba por los US$50.000. Aunque esta vulnerabilidad no fue considerada de alto riesgo, debido a que permite al atacante escalar privilegios e instalar rootkits, sí debe ser objeto de mucha atención por parte de los administradores de red.
Además de esta vulnerabilidad, que llamó la atención, se ofrecían en subasta exploits que, dependiendo de sus capacidades, oscilaban entre los 20 y los 30 mil dólares, junto con códigos para reclutar botnets entre 5 mil y 20 mil dólares. Una situación similar se presentó durante el mes de diciembre de 2005, cuando investigadores de Kasperky Lab en Moscú encontraron que en el mercado underground era posible comprar exploits para la vulnerabilidad de Windows conocida como WMF, a tan solo US$4.000.
Los investigadores de Trend Micro también encontraron que el mercado está saturado con ofertas de información personal de víctimas de ataques de phishing y dinero virtual de apostadores que juegan a través de sitios en línea. Encontraron que el precio promedio de un PIN de tarjeta de crédito es US$500 y las cuentas de PayPal e eBay las venden a US$7.
Richard Genes, Chief Technology Officer (CTO) de Trend Micro comentó acá que la industria del software maligno puede estar ganando más dinero que las empresas que lo combaten.
Esto es lo que ocurre en otras latitudes… mientras tanto, en Colombia, solamente un mal llamado hacker ocupa lugares en la prensa nacional: su gran logro, realizar ataques realmente simples de ingeniería social para conseguir las claves de acceso a cuentas de Hotmail, Yahoo! y Gmail y se vanagloria de estar listo para ofrecer acceso a las cámaras web de potenciales víctimas, esperando cobrar $200.000 por permitir a sus clientes ver a sus exnovias o exnovios en la intimidad de sus hogares/oficinas.
Cuánto nos falta! No quiero decir que nos hagan falta delincuentes, obviamente, sino expertos con verdadera preparación que sean capaces de, por ejemplo, encontrar 0day vulns realmente críticas y de desarrollar los parches respectivos. Entre otras cosas, cuánta culpa le cabe a nuestras universidades, cuando muchas de ellas lo único que hacen es entrenar técnicos en mantenimiento de equipos? No hablo por todas, ni más faltaba, pero sí resalto la floja educación que muchos de ellos están recibiendo… 🙁
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe