English
Una nueva startup de ciberseguridad con sede en Emiratos Árabes Unidos, Advanced Security Solutions, ha irrumpido en el mercado de los exploits zero-day ofreciendo algunas de las recompensas públicas más altas reportadas hasta la fecha. La compañía pagaría hasta 20 millones de dólares por herramientas capaces de comprometer cualquier smartphone mediante un simple mensaje de texto.
Los exploits zero-day—fallas de software desconocidas para los desarrolladores al momento de su descubrimiento—son extremadamente valiosos, especialmente para gobiernos, agencias de inteligencia y fuerzas de seguridad que buscan capacidades digitales avanzadas. Advanced Security Solutions ha llamado la atención por ofrecer recompensas competitivas en múltiples plataformas:
- 20 millones de dólares por cualquier sistema operativo móvil.
- 15 millones de dólares por zero-days para dispositivos Android y iOS.
- 10 millones de dólares por Windows.
- 5 millones de dólares por Google Chrome.
- 1 millón de dólares por navegadores Safari y Microsoft Edge.
Aunque la compañía enfatiza su colaboración con gobiernos y agencias de inteligencia de todo el mundo, se sabe poco sobre su propiedad o financiamiento. Según su sitio web, la empresa está compuesta únicamente por profesionales con más de 20 años de experiencia en unidades de inteligencia de élite y contratistas militares privados.
“Empoderamos a agencias gubernamentales y fuerzas de seguridad para operar con precisión en el campo de batalla digital,” afirma el sitio web. “Mantenemos cooperación continua con más de 25 gobiernos en todo el mundo, apoyando operaciones de alto riesgo, incluyendo contraterrorismo y control de narcóticos.”
A pesar de sus afirmaciones, Advanced Security Solutions no ha respondido a preguntas sobre salvaguardas éticas, restricciones legales o la identidad de sus clientes. Expertos en el mercado de zero-days advierten sobre los riesgos de tratar con organizaciones anónimas, ya que vender exploits sin transparencia conlleva importantes riesgos.
Contexto y evolución del mercado
El mercado de zero-days ha crecido significativamente en la última década, tanto en participantes como en recompensas. En 2015, compañías como Zerodium ofrecían hasta 1 millón de dólares por exploits en iPhone. Para 2018, Crowdfense aumentó la recompensa a 3 millones de dólares por vulnerabilidades similares. El año pasado, Crowdfense elevó sus pagos a 7 millones de dólares por zero-days para iPhone y 5 millones para Android, además de recompensas adicionales para aplicaciones de mensajería como WhatsApp (8 millones) y Telegram (4 millones).
Actualmente, Advanced Security Solutions ofrece 2 millones de dólares por exploits zero-day para plataformas de mensajería como Telegram, Signal y WhatsApp. Esta tendencia de aumento de precios refleja tanto la mayor demanda como la creciente dificultad de vulnerar dispositivos modernos y software seguro, debido a las mejoras de seguridad implementadas por las grandes compañías tecnológicas.
Implicaciones para la ciberseguridad
El surgimiento de brokers de zero-days con recompensas tan altas como Advanced Security Solutions subraya la intersección creciente entre la investigación privada en ciberseguridad y la vigilancia gubernamental. Si bien estas herramientas pueden usarse con fines de seguridad nacional, también plantean preguntas éticas y legales sobre la venta de exploits a gobiernos sin supervisión clara.
Analistas del sector señalan que las recompensas más altas atraen a hackers muy capacitados, pero la anonimidad y la falta de transparencia representan riesgos significativos, tanto para los vendedores como para la estabilidad global en ciberseguridad.
“El mercado de zero-days está creciendo rápidamente, pero las implicaciones éticas y legales no pueden ignorarse,” dijo un investigador de seguridad en condición de anonimato. “Vender exploits a compradores que ocultan su identidad es inherentemente riesgoso y podría tener consecuencias de gran alcance.”
Conclusión
La oferta pública de Advanced Security Solutions de hasta 20 millones de dólares representa un nuevo récord en el mercado de zero-days. A medida que los dispositivos móviles y las aplicaciones de mensajería se vuelven cada vez más centrales en la vida cotidiana, la demanda de exploits sofisticados seguirá creciendo. Empresas, gobiernos y profesionales de ciberseguridad deben mantenerse vigilantes, equilibrando necesidades operativas con consideraciones éticas y legales para prevenir el uso indebido de estas poderosas herramientas digitales.
