Fue una sopresa para todos cuando se anunció que Chrome había sido hackeado, en el Pwn2Own. El grupo que había logrado la hazaña era Vupen, una compañía francesa que se dedica a vender exploits a gobiernos y agencias de inteligencia alrededor del mundo por abultadas sumas de dinero.
Las amenazas detectadas en el explorador consistían en exploits de día cero que permitían tomar control de un PC sin que el usuario se enterara de ello. Pese al acuerdo incial para quienes participan en el Pwn2Own, Vupen nunca tuvo ninguna intención de entregarle a Google la información que habían descubierto sobre el navegador a pesar de que Google había cumplido al pagar USD$60.000 a los dos hackers que presentaron los resultados, bajo la condición de que le informarán a la empresa cada detalle del ataque y ayudarán a reparar las vulnerabilidades que usaron, el CEO de Vupen, Chaouki Bekrar, aseguró que la compañía no tiene intenciones de decirle a Google las técnicas que usaron – menos por USD$60.000 a cambio.
“No compartiríamos esto con Google ni por USD$ 1 millón. No queremos darles ningún conocimiento que les ayude a reparar este exploit u otros exploits similares. Queremos dejar esto para nuestros clientes”, dijo Bekrar a Forbes.
Ahora bien, quienes son los Clientes de Vupen, son agencias de inteligencias de gobiernos alrededor del mundo que buscan espiar o invadir computadores y equipos de personas que están siendo investigadas por crímenes, “objetivos de inteligencia”, como los llaman, lo que si es cierto es que esos clientes no intentarán reparar Google Chrome.
Aunque no lo parezca, este tipo de comercio es legal. Según el propio Bekrar, sólo le venden las vulnerabilidades a países de la OTAN y eligen con cuidado para que las vulnerabilidades no caigan en “malas manos”, pero no pueden asegurar que ello no ocurra. “Si le vendes un arma a alguien, no hay manera de asegurar que ellos no se la venderán a otra agencia”, dice Bekrar.
Algunos han criticado que lo que hace Vupen es precisamente eso: vender armas para la ciberguerra. No les interesa qué se hace con los exploits, y si personas inocentes se verán afectadas por ello (espionaje, violaciones a la privacidad, ciberdelitos, etc).
Lo cierto es que Google no están muy contentos y algunos han llamado a Bekrar un “oportunista falto de ética”. Las declaraciones de Bekrar hacen dudar también de las informaciones emitidas por Google respecto a un parche para Chrome. El hacker no parece afectado por quienes lo tachan de oportunista al referir: “No trabajamos tan duro para ayudar a compañías multimillonarias a hacer que su código sea más seguro”.
Con Información de: Forbes
