El mercado negro de vulnerabilidades no conocidas

Existe un mercado negro de vulnerabilidades no conocidas donde estas se compran por aproximadamente $4000 de EU.

Por ejemplo:

¿Fue comprada la vulnerabilidad WMF por 4000 dólares americanos? Entiéndase por comprada el que, de un modo previo a la explotación masiva o en sus albores, cuando no había datos, alguien adquiriese el conocimiento de la misma y las vías de explotación a cambio de esa cantidad de dinero.

Aparentemente, según declaraciones de Kaspersky Lab, es probable que este exploit fuera ofrecido por 4000 dólares americanos y que fuera adquirido por numerosos sitios especializados, a mediados de diciembre. Kaspersky comenta en la nota que uno de los compradores de la vulnerabilidad estuvo y de hecho está envuelto en la creación de spyware criminal para ser explotado comercialmente, y que esa es la causa real por la que el problema se hizo público.

Las declaraciones de Kaspersky, sin duda, son de estas que te dejan un mal sabor de boca, no por que no crea lo que dicen, que los creo, sino porque esta es una manifestación clara de que el malware es un negocio y con expectativas muy serias de consolidación (aún más de la que tiene). El bug fué creado para el mercado ruso, para ser explotado por bandas de crimen organizado, con el único ánimo de generar ingresos por la venta del mismo. Terrorífico.

Algunas razones para pensar que el mercado de las vulnerabilidades está en auge, son razones de tipo económico.

Sin duda, el peor escenario es aquel representado por la creación de exploits bajo demanda, un mercado que es totalmente factible, y que visto lo visto con el caso de la vulnerabilidad WMF, es totalmente real.