La firma ZERODIUM es una empresa dedicada a pagar grandes cantidades de dinero para las personas que logren dar con hackeos y exploits de día cero planteados a modo de reto general.
Hoy acaba de dar a conocer dos imágenes que podríamos clasificar como tablas o grillas en donde se visualizan cada uno de los logros a conseguir y su correspondiente recompensa.
La primera de esas ilustraciones hace referencia a las consideraciones abarcadas en el campo de las Desktops/servers. Te dejamos con dicha imagen a continuación:
El monto mínimo arranca desde los 10.000 hasta un tope de USD $300.000. Allí se puede optar por encontrar vulnerabilidades en diferentes antivirus, o en navegadores web o en servicios de correo electrónico, por mencionarte un panorama global.
Sin embargo, lo más llamativo está abocado al mundo de la telefonía móvil:
En este campo, el pago mínimo comienza en los USD 15.000 y el máximo es de… ¡Un millón y medio de dólares!
Si lográs hallar un bug en el modo de seguridad de PIN en Android o con el Touch ID en iOS, te harías con ese monto inicial de 10.000 billetes verdes. Pero, si conseguís ejecutar de manera remota un jailbreak en un iPhone, con Zero Click incluido, te llevás la módica suma de 1.5 millones de dólares. Este último hackeo sería lograr controlar de manera total un aparato iOS remoto a distancia, cosa que hasta el momento es algo imposible.
En el medio de las categorías se encuentra el hackeo a sistemas de mensajería instantánea, siendo varias de ellas cifradas, como Telegram, Signal y WhatsApp. Suponiendo que alguien rompe la barrera y cumple el reto, entonces se llevará USD $500.000.
Announcement – We've released a new/full price list for Mobile #0days. New targets at $500,000. List & Changelog at: https://t.co/0T2LkyNbC9
— Zerodium (@Zerodium) 23 de agosto de 2017
La razón de estos grandes pagos no está muy aclarada que digamos. En teoría ZERODIUM ofrece recompensas muy interesantes para así lograr captar mucha expectativa y la mayor cantidad de interesados posibles. Mientras más intentos, hay más chances; y si se descubren vulnerabilidades, entonces serán los primeros en conocerlas.
Ahora bien, la cuestión viene una vez sacado a la luz algún fallo. En la web de la empresa se indica que analizan toda la información obtenida y brindan inteligencia de seguridad y medidas y recomendaciones a sus clientes para reforzarse. Esos clientes serían grandes compañías especializadas en lo referente a seguridad, tecnología y finanzas. Pero, como bien indican en Genbeta, no se menciona a ninguna organización en concreto entre ellos.