El gobierno de Estados Unidos anunció este martes sanciones contra dos empresas dedicadas a comprar y revender vulnerabilidades “zero-day”, además de castigar a sus fundadores y asociados. Según funcionarios del Departamento del Tesoro citados por TechCrunch, este mercado representa una amenaza directa para la seguridad nacional, la política exterior y la economía estadounidense. La razón es simple: un zero-day es una falla de seguridad que el fabricante todavía no conoce, y por lo tanto no puede corregir. En manos equivocadas, puede convertirse en una llave maestra para espiar, robar información o desplegar ransomware.

La primera empresa sancionada es Operation Zero, una firma rusa creada en 2021. Su nombre ya había circulado con fuerza en 2023, cuando anunció que pagaría hasta 20 millones de dólares por zero-days capaces de comprometer dispositivos Android y iPhones. Más tarde, también dijo estar dispuesta a pagar hasta 4 millones de dólares por vulnerabilidades en Telegram. La compañía asegura trabajar “exclusivamente” con el gobierno ruso y organizaciones locales.

La Oficina de Control de Activos Extranjeros (OFAC) del Tesoro fue explícita: los clientes de Operation Zero “podrían usar las herramientas para lanzar ataques de ransomware u otras actividades maliciosas”. Junto con la empresa, Estados Unidos sancionó a su fundador, Sergey Zelenyuk, a quien las autoridades acusan de vender exploits a agencias de inteligencia extranjeras y de buscar desarrollar spyware y tecnologías de intrusión. El Tesoro también afirma que Zelenyuk reclutaba hackers y cultivaba relaciones con servicios de inteligencia a través de redes sociales, incluyendo cuentas en X y Telegram.

Uno de los puntos más delicados del caso es la acusación de que Operation Zero adquirió “al menos ocho herramientas cibernéticas propietarias” creadas para uso exclusivo del gobierno de EE. UU. y algunos aliados, que habrían sido robadas a una empresa estadounidense, y luego revendidas “al menos a un usuario no autorizado”. En paralelo, el Tesoro vinculó estas sanciones con una investigación del FBI sobre Peter Williams, exempleado del contratista de defensa L3Harris. En octubre, Williams se declaró culpable de vender al menos ocho exploits de la compañía a un broker ruso no identificado; ahora el Tesoro afirma que ese broker era Operation Zero, algo que el gobierno no había confirmado públicamente hasta el momento.

Williams era gerente general en Trenchant, una empresa que desarrolla herramientas de hackeo y vigilancia para el gobierno estadounidense y socios de inteligencia de alto nivel, incluidos Australia, Canadá, Nueva Zelanda y el Reino Unido, el bloque conocido como Five Eyes.

Además de Zelenyuk, el Tesoro sancionó a una firma afiliada con base en Emiratos Árabes Unidos llamada Special Technology Services, así como a la asistente de Zelenyuk, Marina Evgenyevna Vasanovich, y a dos personas asociadas: Azizjon Makhmudovich Mamashoyev y Oleg Vyacheslavovich Kucherov, quienes presuntamente trabajaron con Operation Zero.

Kucherov, ciudadano ruso, es señalado como sospechoso de pertenecer a Trickbot, un conocido grupo de ransomware cuyos presuntos miembros ya habían sido sancionados por Estados Unidos y el Reino Unido. Mamashoyev, por su parte, es acusado de ser el fundador de Advance Security Solutions, otro broker de zero-days con base en Emiratos Árabes Unidos que también fue sancionado este martes.

Advance Security Solutions se lanzó el año pasado con una propuesta tan llamativa como inquietante: ofrecer hasta 20 millones de dólares por zero-days que permitieran hackear “cualquier tipo de smartphone” mediante un simple mensaje de texto. También publicitó recompensas elevadas por herramientas de intrusión en software y hardware muy extendidos, como Android, iPhone, Windows y Chrome. Contactada por TechCrunch, una persona que operaba la cuenta de chat de la empresa afirmó —sin aportar pruebas— que Mamashoyev no era su fundador.

Las sanciones se aplican bajo una ley federal de 2022 que habilita al gobierno estadounidense a castigar a quienes cometan “robos significativos de secretos comerciales”. En la práctica, estas medidas buscan cortar el acceso a recursos financieros y limitar la capacidad de operar internacionalmente. Operation Zero y Zelenyuk no respondieron a solicitudes de comentarios, y tampoco fue posible contactar de inmediato a Kucherov, Mamashoyev y Vasanovich.

El caso deja una señal clara: el mercado de zero-days ya no es solo un negocio opaco entre especialistas, sino un frente geopolítico. Cuando una vulnerabilidad vale millones, y puede abrir la puerta a espionaje o ransomware, la línea entre “investigación” y “arma digital” se vuelve peligrosamente delgada.