ChannelBiz

Vupen es una empresa francesa que se dedica a detectar vulnerabilidades que vende al mejor postor, algo que muchos le critican. Es asidua a los grandes eventos de hacking ético, donde suele mostrar su destreza consiguiendo algunos de los premios que se entregan.

Pues bien su fundador, Chaouki Bekrar, acaba de lanza un nuevo proyecto: Zerodium, cuya actividad es la de comprar vulnerabilidades de Día Cero, o Zero Day. Dice sobre sí misma que su objetivo es el de crear una comunidad global de investigadores de seguridad independientes y con talento que trabajen juntos en proporcionar investigaciones sobre ciberseguridad más actualizadas.

En realidad Zerodium funcionará como un Bug Bounty Program, un programa de recompensas independiente que pagará a los investigadores por información sobre vulnerabilidades Zero Day. Después negociará con la empresa del software afectado… o con el mejor postor, la venta de esa información. En su página web la compañía asegura que solo busca vulnerabilidades de alto riesgo con exploits fiables y que funcionen, y que pagarán mejores recompensas que las ofrecidas en los Bug Bounty Programs de otras empresas “incluidas las de Google, Mozilla, Internet Bug Bounty, etc.”.

Zerodium también expone varias categorías de productos para buscar fallos de Día Cero: Sistemas operativos (Windows, Mac OS o Linux), Navegadores Web, Reproductores (Flash y Reader), Teléfonos móviles (Android, iOS, BlackBerry y Windows Phone), Servidores Web y de Correo electrónico, Aplicaciones Web, etc. En lo que no parece estar interesada la compañía es en vulnerabilidades detectadas en servicios web como Google y Twitter.

Aunque para muchos se trata de un negocio legítimo, son muchos más los que critican a Vupen y no mirarán con buenos ojos a Zerodium, quien asegura que entre sus clientes se encuentran grandes empresas de defensa, tecnología y finanzas preocupadas por los ataques de Día Cero.