¿Qué son los brókers de día cero? Descubriendo el mercado negro de vulnerabilidades de seguridad.

Redazione RHC : 19 julio 2025 09:42

Los brókeres de día cero son intermediarios que compran y venden vulnerabilidades de software desconocidas para los fabricantes y las organizaciones que las utilizan.

Estas vulnerabilidades, conocidas como «días cero», son explotadas por ciberdelincuentes para atacar los sistemas informáticos y las redes de las empresas. Los brókeres de día cero buscan lucrarse vendiéndolas a gobiernos, agencias de inteligencia, corporaciones y otras organizaciones, quienes las utilizan para desarrollar herramientas de hacking y realizar vigilancia.

En este artículo, comprenderemos el fenómeno de los brókeres de día cero, su creciente popularidad y los peligros de este modelo en un mundo digitalmente globalizado.

¿Qué son los brókeres de día cero?

Comerciar con vulnerabilidades de día cero es una práctica muy controvertida y plantea cuestiones éticas sobre la ciberseguridad. Muchos expertos en ciberseguridad argumentan que comprar y vender vulnerabilidades no aumenta la seguridad del mundo digital, sino que aumenta el riesgo, ya que estas herramientas pueden acabar en las manos equivocadas.

Los brókeres de día cero compran estas vulnerabilidades a investigadores de seguridad u otras personas que las descubren y luego las venden a gobiernos, agencias de inteligencia, empresas de seguridad y otras entidades interesadas. Los brókeres de día cero actúan como intermediarios entre los investigadores de seguridad que descubren las vulnerabilidades y los clientes interesados en comprarlas.

Comprar una vulnerabilidad de día cero puede ser muy costoso, ya que es un arma muy poderosa para un atacante. Los brókeres de día cero pueden obtener grandes ganancias en este mercado porque la oferta de vulnerabilidades de día cero es limitada y los clientes están dispuestos a pagar precios muy altos por el acceso a estas vulnerabilidades.

¿Por qué elegir un bróker de día cero?

Existen varias razones por las que un investigador de seguridad podría optar por proporcionar un día cero a un Broker en lugar del proveedor del producto:

1. Ganar dinero: Los brokers de día cero pagan sumas considerables por vulnerabilidades que pueden comprometer la seguridad del producto. Para los investigadores de seguridad, esto podría ser una fuente de ingresos, especialmente si logran descubrir vulnerabilidades muy raras o particularmente dañinas.
2. Mantener el anonimato: Algunos investigadores prefieren mantener el anonimato y se sienten más cómodos vendiendo sus hallazgos a un broker en lugar de contactar directamente al proveedor del producto. Esto puede ser especialmente cierto si el investigador teme represalias o acciones legales por parte del proveedor u otros.
3. Asegurarse de que la vulnerabilidad esté corregida: Si un investigador de seguridad ha notificado a un proveedor de productos sobre una vulnerabilidad y este no ha respondido o se ha negado a corregirla, el investigador podría vender la vulnerabilidad a un bróker para asegurar su corrección. Esto puede ser especialmente importante si la vulnerabilidad es particularmente crítica o si el producto se usa ampliamente y representa un riesgo significativo para la seguridad.

Sin embargo, es importante tener en cuenta que vender una vulnerabilidad a un bróker de día cero también puede conllevar riesgos, como que el bróker pueda propagarla o participar en actividades ilegales.

Por lo tanto, los investigadores de seguridad deben evaluar cuidadosamente sus opciones antes de decidir vender una vulnerabilidad a un bróker de día cero.

Reventa de día cero por brókeres

Como ya informamos, los brókeres de día cero pueden revender vulnerabilidades de día cero a gobiernos, agencias de inteligencia u otras organizaciones interesadas. Estas organizaciones podrían usar las vulnerabilidades para realizar operaciones de inteligencia o desarrollar herramientas de hacking para acceder remotamente a los sistemas objetivo. En algunos casos, las agencias de inteligencia también podrían usar las vulnerabilidades para comprometer los sistemas de organizaciones extranjeras con fines de inteligencia, espionaje económico o para apoyar operaciones militares. De hecho, las empresas que desarrollan sistemas de inteligencia (como NSO Group, que ha sido ampliamente discutido en relación con el malware Pegasus) pueden adquirir ataques de día cero de corredores de diversas maneras. En algunos casos, las propias empresas pueden contactar directamente con los corredores para comprar los derechos de un ataque de día cero específico, que luego pueden usar para mejorar sus propios productos o venderlos a sus clientes. En otros casos, los intermediarios pueden acercarse directamente a las empresas y ofrecerles los días cero que han recopilado.

Es importante tener en cuenta que muchas de estas prácticas se dan en una zona gris entre la legalidad y la moralidad, ya que los días cero pueden utilizarse con fines controvertidos, como la vigilancia masiva o la violación de la privacidad del usuario.

Es inapropiado hacer referencia o promocionar intermediarios de días cero específicos, ya que, como hemos visto, la adquisición y venta de vulnerabilidades de día cero podría representar una amenaza para la ciberseguridad. Además, muchas actividades de intermediación de días cero son sospechosas y pueden violar las leyes de ciberseguridad o los derechos humanos. Sin embargo, ha habido informes de prensa que indican la existencia de varios brókeres de día cero conocidos, como Zerodium, Exodus Intelligence y Vupen Security.

Sistemas de inteligencia

Las empresas de inteligencia y spyware utilizan exploits de día cero para mejorar sus productos y luego revenderlos a gobiernos, que los utilizan para monitorear dispositivos específicos. Los exploits de día cero sin clic son particularmente populares porque permiten instalar spyware en dispositivos sin interacción del usuario.

Por ejemplo, los exploits de día cero pueden usarse para monitorear conversaciones telefónicas y mensajes de texto, recopilar información sobre la actividad en línea, acceder a archivos confidenciales, robar credenciales de inicio de sesión y mucho más. Todo esto ocurre sin que el objetivo se dé cuenta de la intrusión.

Este tipo de actividad puede llevarse a cabo con diversos fines, como recopilar información sobre individuos específicos, prevenir amenazas a la seguridad nacional o combatir el terrorismo. Sin embargo, el uso de ataques de día cero suele ser objeto de debate, ya que plantea dudas sobre la privacidad y la legalidad de las actividades de vigilancia.

Conclusiones

En conclusión, los brókeres de ataques de día cero son empresas especializadas en la compraventa de vulnerabilidades cibernéticas desconocidas para los proveedores de software. Si bien estos brókeres pueden utilizarse para vender vulnerabilidades a quienes las utilizan con fines maliciosos, muchos de sus clientes han sido descritos como gobiernos y agencias de inteligencia que buscan proteger a sus países mediante el descubrimiento de vulnerabilidades cibernéticas explotables.

Sin embargo, la naturaleza de estos brókeres genera muchas preocupaciones sobre la seguridad y la privacidad de los usuarios, ya que las vulnerabilidades explotadas pueden causar daños irreparables. Además, el trading de día cero plantea cuestiones éticas sobre el uso de la ciberseguridad y la responsabilidad de los gobiernos y las empresas de proteger a los usuarios.

Por esta razón, muchos expertos en ciberseguridad trabajan para desarrollar métodos más seguros y transparentes para revelar vulnerabilidades, proteger mejor a los usuarios y prevenir el uso malicioso de los días cero.