La seguridad cibernética se ha convertido en un pilar fundamental para la protección de la información personal y corporativa. Google, uno de los gigantes tecnológicos globales, ha arrojado luz sobre una preocupante tendencia: la mayoría de las vulnerabilidades de día cero (zero-days) que descubre están vinculadas a vendedores de spyware.
Para entender la magnitud del problema, primero es crucial comprender qué son las vulnerabilidades de día cero. En el ámbito de la seguridad informática, una vulnerabilidad de día cero es un fallo de software que es desconocido para el fabricante o, si es conocido, aún no ha sido parcheado. Esto significa que los atacantes pueden explotar dicha vulnerabilidad para infiltrarse en sistemas o robar datos sin ser detectados, hasta que el fabricante lanza una solución.
Conoce más sobre: Protección contra Amenazas de Día Cero con Azure Sentinel
El Grupo de Análisis de Amenazas (TAG) de Google reveló que el 80% de las vulnerabilidades de día cero detectadas en 2023, las cuales fueron utilizadas para espiar dispositivos en todo el mundo, fueron originadas por proveedores comerciales de software espía (CSV).
Estas vulnerabilidades de día cero son defectos de seguridad que los proveedores del software afectado no conocen o para los cuales no han desarrollado soluciones.
Google ha estado monitoreando las actividades de 40 proveedores comerciales de software espía para detectar posibles intentos de explotación. Su objetivo es proteger a los usuarios de sus productos y salvaguardar a la comunidad en general. Para ello, comparten hallazgos clave con las partes pertinentes.
Según el seguimiento realizado, Google ha identificado que 35 de los 72 exploits de día cero conocidos que han afectado a sus productos en la última década pueden ser atribuidos a proveedores de software espía.
"Esta es una estimación de límites inferiores, ya que refleja sólo exploits de día 0 conocidos. El número real de exploits de día 0 desarrollados por CSV dirigidos a productos de Google es casi con certeza mayor después de tener en cuenta los exploits utilizados por CSV que no han sido detectados por investigadores, exploits cuya atribución se desconoce y casos en los que se parchó una vulnerabilidad antes de que los investigadores descubrieran indicios de explotación en el medio natural". - Google
Te podrá interesar: Google responde al primer Zero-Day explotado en Chrome de 2024
Los proveedores de software espía (CSV) aprovechan las vulnerabilidades de día cero para dirigirse a periodistas, activistas y figuras políticas por encargo de clientes que incluyen gobiernos y organizaciones privadas.
Algunos CSV destacados en el informe de Google incluyen:
- Cy4Gate y RCS Lab: Empresas italianas conocidas por los programas espía "Epeius" y "Hermit" para Android e iOS.
- Intellexa: Una alianza de empresas de software espía liderada por Tal Dilian desde 2019.
- Negg Group: Un CSV italiano con alcance internacional conocido por el malware "Skygofree" y el software espía "VBiss".
- NSO Group: Una firma israelí famosa por el software espía Pegasus y otras herramientas de espionaje.
- Variston: Un CSV español que ofrece soluciones de seguridad a medida y está vinculado al marco Heliconia.
Conoce más sobre: Reciente Explotación de una Vulnerabilidad en iOS por Pegasus
Estos proveedores venden licencias de uso de sus productos por millones de dólares, permitiendo a los clientes infectar dispositivos Android o iOS mediante exploits no documentados de 1 clic o cero clic. Algunas cadenas de exploits aprovechan vulnerabilidades conocidas para las cuales hay soluciones disponibles, pero los retrasos en la aplicación de parches las hacen explotables durante períodos prolongados con fines maliciosos.
Google ha observado que los CSV están cada vez más agresivos en la búsqueda de vulnerabilidades desconocidas, desarrollando al menos 33 exploits entre 2019 y 2023. En el apéndice del informe detallado de Google se encuentra una lista de 74 días cero utilizados por 11 CSV, la mayoría de los cuales afectan a Google Chrome, Android, Apple iOS y Windows.
Cuando los investigadores de seguridad descubren y corrigen las vulnerabilidades explotadas, los CSV sufren daños operativos y financieros significativos, lo que dificulta su capacidad para continuar operando. Google insta a tomar medidas adicionales contra la industria del software espía, incluida una mayor colaboración entre los gobiernos, la introducción de directrices estrictas sobre el uso de la tecnología de vigilancia y esfuerzos diplomáticos con los países que albergan proveedores que no cumplen.
Google está proactivamente contrarrestando las amenazas de software espía a través de soluciones como Navegación Segura, seguridad de Gmail, el Programa de Protección Avanzada (APP) y Google Play Protect, además de mantener la transparencia y compartir información sobre amenazas con la comunidad tecnológica.
Te podrá interesar: ¿Qué es un Ataque de Exploit?
Aunque la lucha contra los vendedores de spyware y las vulnerabilidades de día cero puede parecer una batalla de titanes fuera del alcance del usuario promedio, hay medidas que todos podemos tomar para protegernos:
Te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
El informe de Google sobre la relación entre los vendedores de spyware y las vulnerabilidades de día cero es un llamado de atención sobre los riesgos de seguridad en nuestra era digital. Mientras que los esfuerzos de empresas como Google por descubrir y parchear estas vulnerabilidades son cruciales, la responsabilidad también recae en los usuarios, reguladores y la comunidad internacional para adoptar medidas proactivas contra el abuso del spyware. La seguridad en línea es un esfuerzo colectivo, y solo a través de la colaboración podremos aspirar a un futuro digital más seguro.