El reciente anuncio de Crowdfense sobre la recompensa de $350,000 por un RCE en la última versión estable de NGINX ha vuelto a abrir el debate sobre el mercado de los Zero Days y los brokers.
Antes de ponernos al lío, hay que entender qué es un Zero Day y por qué vale tanto dinero.
¿Qué es un Zero Day?
Según INCIBE, un Zero Day es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad.
¿Qué es Crowdfense y de dónde salen los $350,000?
Crowdfense es la plataforma líder en la adquisición de vulnerabilidades de día cero. Ofrecen los pagos más altos del sector, con recompensas que van desde 10.000 hasta 7 millones de dólares.
La respuesta de dónde sale este dinero es algo más compleja, pero para resumir, los clientes de Crowdfense son principalmente clientes institucionales internacionales, incluidos gobiernos, agencias de inteligencia y fuerzas del orden, e integradores de sistemas. Estas entidades utilizan los exploits adquiridos para la recopilación de inteligencia, la recopilación de información e investigaciones.
Por esta razón, las vulnerabilidades que más se pagan son las de aplicaciones de mensajería, debido a su enorme base de usuarios y el valor estratégico de poder acceder a comunicaciones privadas:
Aquí llega el dilema, reportar al fabricante o vender al broker
Siguiendo el caso de WhatsApp, el programa de Meta paga hasta $300,000 por las vulnerabilidades más críticas. Sin embargo, esta cifra está muy por debajo de los 5 millones de dólares que ofrece Crowdfense por un exploit similar.
Este contraste refleja el dilema al que se enfrentan los investigadores: reportar la vulnerabilidad al fabricante y garantizar que se corrija para proteger a los usuarios, o venderla a un broker y obtener una recompensa mucho mayor, dejando la explotación en manos de clientes institucionales y gubernamentales. La decisión implica no solo una cuestión económica, sino también consideraciones de ética, impacto en la seguridad y reputación profesional.
¿Y tú qué harías reportar al fabricante o vender al broker?