La seguridad informática es un mercado dinámico con muchos matices que el público general no conoce. En el bajo mundo de la ‘infosec’ hay un oscuro mercado en el cual se compran y venden herramientas y ‘zero day exploit’, esas fallas que detectan los hackers antes que los desarrolladores. Según The Verge, una de esas vulnerabilidades puede valer entre 50.000 y 100.000 dólares.

Y tiene sentido. Sí alguien encuentra una puerta abierta, y además sabe que el dueño de la casa no se ha enterado, puede hacer mucho daño. Ese mercado, como cualquier otro, está regulado por la demanda y la oferta.

Reuters está reportando que el mercado gris de herramientas y ‘zero day exploits’ está siendo arrasado por el inmenso poder de compra que tiene el gobierno de Estados Unidos. “Al mismo tiempo que Estados Unidos está confrontando a sus rivales por el espionaje en internet, se ha convertido en el comprador más grande en el mercado gris, donde hackers y firmas de seguridad venden herramientas para ingresar indebidamente a sistemas”, escribe la agencia de noticias.

Este aumento en la demanda está incrementando los precios de dichas herramientas, lo que tiene preocupadas a las firmas y las agencias de inteligencia y seguridad. El problema es que el gobierno americano –dice la nota– no está usando las herramientas adquiridas para reforzar la seguridad, sino para infiltrar redes en el exterior y dejar sus propios programas de espionaje.

Esta realidad tiene dos implicaciones cruciales:

• Primero, el gobierno estadounidense es uno de los principales agentes de inteligencia informática. Estados Unidos, con recursos casi infinitos, es una de las instituciones que más vulnerabilidades y problemas detecta. Ahora, si se empiezan a guardar los secretos para su propio beneficio, la industria y los consumidores se verán seriamente afectados. “Si el gobierno conoce una vulnerabilidad que puede ser explotada por medios convencionales su primera obligación es alertar los usuarios estadounidenses”, dijo Richard Clarke, exasesor de seguridad de la Casa Blanca. “Debería haber un mecanismo para determinar el uso que se le da a la información –uso ofensivo o defensivo– pero no lo hay”, agregó.
• En segundo lugar, a raíz del cambio en el mercado se está produciendo un desplazamiento de talento. Anteriormente, muchos hackers se dedicaban a reportar los huecos en seguridad a las empresas. Pero ahora, viendo el incremento en los precios del mercado gris, muchos están vendiendo sus herramientas y descubrimientos. El delicado balance que hay entre las capacidades defensivas y ofensivas está a punto de quebrarse. Al ver que hay mucho más dinero en atacar a las redes que en defender, el talento inevitablemente migrará hacia ese lado.

Más allá de las relaciones entre las naciones o las grandes corporaciones, es probable que en todo este enredo, el usuario salga perjudicado. La inmensa mayoría de nosotros no tenemos cartas en el asunto, pero a medida que las herramientas ofensivas aumenten, seguramente muchos de los servicios que usamos a diario ser verán afectados.