La mitad de los anuncios de exploits en la dark web involucran vulnerabilidades de día cero o un día
- Vulnerabilidades
Los exploits más comunes son aquellos para vulnerabilidades de ejecución remota de código y escalada de privilegios locales. En mayo, la dark web fue testigo de la venta de un exploit, supuestamente para una vulnerabilidad de día cero en Microsoft Outlook, con un precio de casi dos millones de dólares.
Los exploits son herramientas utilizadas por ciberdelincuentes para aprovechar vulnerabilidades en diversos programas de software para cometer actividades ilegales, tales como obtener acceso no autorizado o robar datos. Pues bien, entre enero de 2023 y septiembre de 2024, los expertos de Kaspersky Digital Footprint Intelligence identificaron en varios foros de la dark web y en canales clandestinos de Telegram 547 anuncios para comprar y vender exploits dirigidos a vulnerabilidades de software. Sin embargo, es difícil confirmar si estos exploits son funcionales, ya que el mercado negro está plagado de estafas.
“Los exploits pueden atacar cualquier programa, pero los más deseados y costosos suelen enfocarse en software a nivel empresarial. Estas herramientas permiten a los ciberdelincuentes llevar a cabo ataques que les reportan grandes beneficios, como robar información corporativa o espiar a una organización sin ser detectados. Sin embargo, algunas ofertas de exploits en la dark web pueden ser falsas o incompletas, lo que significa que no funcionan como se anuncian. Además, es probable que una parte significativa de las transacciones ocurra en privado. Estos dos factores dificultan la evaluación del volumen real del mercado de exploits funcionales”, explica Anna Pavlovskaya, analista senior de Kaspersky Digital Footprint Intelligence.
Un mercado estable
El 51% de las publicaciones en la dark web ofrecían o buscaban comprar exploits para vulnerabilidades de día cero o un día. Los exploits de día cero atacan vulnerabilidades no descubiertas que los proveedores de software aún no han identificado ni corregido, mientras que los exploits de un día se enfocan a sistemas que no han instalado el parche.
El mercado de la dark web ofrece una amplia gama de diferentes tipos de exploits. Dos de los más comunes son aquellos para vulnerabilidades de ejecución remota de código (RCE) y escalada de privilegios locales (LPE). Según el análisis, el precio de media de los exploits de RCE ronda los 100.000 dólares aproximadamente, mientras que los exploits de LPE suelen costar alrededor de 60.000 dólares. Las vulnerabilidades de RCE se consideran más peligrosas, ya que permiten a los atacantes tomar el control de un sistema o sus componentes, o acceder a datos confidenciales.
Este año, el nivel máximo de ventas y compras de exploits ocurrió en mayo, con 50 publicaciones relevantes, en comparación con un promedio de aproximadamente 26 por mes durante el periodo en el que ha registrado este aumento. Curiosamente, en mayo, la dark web fue testigo de la venta de uno de los exploits más caros durante el período analizado, supuestamente para una vulnerabilidad de día cero en Microsoft Outlook, con un precio de casi dos millones de dólares estadounidenses.
“En general, el mercado de exploits sigue siendo estable; aunque la actividad fluctúa, la amenaza siempre está presente. Esto resalta la necesidad de mantener prácticas de higiene cibernética, como la actualización y monitorización regular de activos digitales en la dark web”, añade Pavlovskaya.
