eWeek publica una entrevista con Raimund Genes, director de sistemas de Trend Micro, en el que desvela los distintos precios que se pueden llegar a pagar por exploits para vulnerabilidades que todavía no han salido a la luz. Como quien va a al supermercado, existen de todos los tipos, gustos y precios. Según parece, Trend Micro logró infiltrase en un especie de subasta donde se comercializaba con vulnerabilidades y exploits. Desde ahí ha logrado tomarle el pulso a los baremos económicos en los que se mueven las mafias informáticas hoy en día. Por ejemplo, un exploit para una vulnerabilidad no pública que permite ejecutar código en Windows Vista ronda (según siempre declaraciones de Genes para eWeek) los 50.000 dólares (38.100 euros aproximadamente). Para otros sistemas, dependiendo obviamente de su popularidad y de la gravedad de las vulnerabilidades, los precios rondan los 20.000 a 30.000 dólares, entre 15.000 y 20.000 euros más o menos. Uno de los tipos de troyanos más habituales hoy día, los que secuestran máquinas Windows que generan todo ese spam que inunda los buzones (indicador de la eficacia de estos ataques) se venden por unos 5.000 dólares (3.800 euros). Un troyano "a la carta" capaz de robar información sensible de cuentas online puede ser comprado por 1.000 ó 5.000 dólares. Un troyano que permita construir todo un botnet se puede comprar por 5.000 ó 20.000 dólares. Si la idea de infectar y esperar beneficios no resulta atractiva, se pueden obtener directamente números de tarjetas de crédito con su correspondiente PIN por sólo 500 dólares (380 euros). Otros datos personales se venden por entre 80 y 300 dólares (de 60 a 230 euros). Y no sólo malware y datos, según Genes, en la subasta también se vendían licencias de conducir falsas, certificados de nacimiento, números de seguridad social... Lo más "asequible" son las cuentas de eBay o PayPal, a 7 dólares cada una (5 euros). Si estos son los precios que se pagan, los beneficios deben ser potencialmente mayores si se sabe gestionar el producto, no hay duda. El conocer cómo aprovechar una vulnerabilidad o un troyano "a la carta" y por tanto no detectable por la mayoría de antivirus (a no ser que posean unas excelentes heurísticas) supone un ingreso potencial de dinero que bien merece una inversión.
Leer más en www.hispasec.com (Fuente original)