.

Computación

La obsesión de la NSA por acumular vulnerabilidades detrás de WannaCry

1

El último ataque mundial con 'ransomware' vuelve a poner bajo los focos a la Agencia de Seguridad Nacional de Estados Unidos, acusada de recopilar y ocultar brechas de seguridad informática que luego aprovechan los ciberdelincuentes

  • por Mike Orcutt | traducido por Teresa Woods
  • 17 Mayo, 2017

Foto: Los altos dirigentes de la comunidad de inteligencia y seguridad estadounidense guardan silencio sobre las vulnerabilidades del software. Crédito: Chip Somodevilla.

Mientras amaina la tormenta y el mundo se recupera del ataque mundial con ransomware que ha bloqueado sistemas en más de 150 países desde el viernes pasado, el oscuro proceso del Gobierno de Estados Unidos para recopilar y revelar las vulnerabilidades detectadas en el software vuelve a someterse al escrutinio de la opinión pública.

Hay muchos culpables de la escala y eficacia del ataque de este fin de semana en el que un virus ransomware llamado WannaCry –también WannaCrypt y Wanna Decryptor– se aprovechó de una vulnerabilidad de seguridad de Windows XP. Para empezar, Microsoft dejó de ofrecer soporte para esa versión de su sistema operativo en 2014, por lo que cualquiera que utilice ese software desactualizado está en peligro. (Una vez que Microsoft supo que la vulnerabilidad estaba siendo explotada con un programa malicioso, la compañía lanzó una actualización con rapidez, una medida poco usual para un software tan antiguo).

El presidente y director legal de Microsoft, Brad Smith, señaló que el Gobierno estadounidense también tiene parte de la culpa. Según parece, los atacantes utilizaron un exploit robado a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) por un grupo de ciberdelincuentes llamado Shadow Brokers. En una nueva entrada de blog, Smith criticó la práctica habitual de la agencia de acumular vulenerabilidades y errores de software: "Necesitamos que los gobiernos consideren los daños a civiles que provoca el almacenamiento compulsivo de vulnerabilidades y el uso de esos exploits".

El Gobierno de EEUU cuenta con un sistema creado para valorar el riesgo de dar una conocer una vulnerabilidad crítica de software o mantenerla en secreto. Sin embargo, poco se entiende y explica en público sobre cómo funciona el llamado Proceso de Equidad de Vulnerabilidades (VEP, por sus siglas en inglés). Hace ya un tiempo que los defensores de la privacidad piden más transparencia al respecto con escaso éxito.

Se cree que el protocolo VEP existe desde 2010 pero permaneció en secreto hasta 2014, cuando la Casa Blanca y el Director de Inteligencia Nacional enviaron un comunicado en el que desmentían la información publicada por Bloomberg en la que se afirmaba que la NSA conocía y usaba desde hace años una brecha de seguridad en la encriptación de las comunicaciones por internet, la llamada Heartbleed (hemorragia de corazón). El coordinador de ciberseguridad del presidente Barack Obama, Michael Daniel, afirmó entonces que la administración había "establecido un disciplinado y riguroso proceso de toma de decisiones de alto nivel para la divulgación de vulnerabilidades".

La respuesta a la pregunta de si el Gobierno federal de EEUU debería ocultar o no la existencia de esas vulnerabilidades "puede parecer obvia para algunas personas", dijo Daniel en ese momento, pero "la realidad es mucho más complicada". Revelar una vulnerabilidad podría llevar a Estados Unidos a "renunciar a una oportunidad de recopilar inteligencia crucial que podría frustrar un ataque terrorista", señaló. No obstante, el proceso de toma de decisiones del Gobierno estaba "sesgado a favor de divulgar de manera responsable la existencia de cualquier problema de seguridad".

En enero de 2016, gracias a una demanda basada en la Ley por la Libertad de la Información e interpuesta por la Fundación Frontera Electrónica, el Gobierno estadounidense publicó un documento parcialmente redactado que explicaba el VEP. Dejó sin aclarar cómo se toman exactamente las decisiones, quién las toma y cuántas vulnerabilidades secretas posee el Gobierno. El investigador de la Universidad de Columbia (EEUU) e investigador de Atlantic Council  Jason Healey calcula que el número se cuenta por decenas.

Los últimos acontecimientos siembran dudas de la supuesta inclinación del sistema hacia la revelación de vulnerabilidades, tal y como aseguraba Daniels. En un reciente trabajo de investigación, construido sobre la base de entrevistas y declaraciones públicas del Gobierno sobre el VEP, Healey concluye que la NSA debería haber dado a conocer "con casi total seguridad" las vulnerabilidades de una filtración anterior obtenida por Shadow Brokers a las empresas afectadas, incluidas Cisco, Juniper y Fortinet. El FBI también debería haber informado a Apple de la vulnerabilidad que empleó el año pasado para acceder al iPhone de uno de los tiradores de los ataques de San Bernardino (EEUU), escribió Healey.

Desafortunadamente, la perspectiva de una mayor transparencia –y la rendición de cuentas que la acompañaría– no parece que vaya a materializarse en un futuro previsible. El VEP está controlado por el brazo ejecutivo del Gobierno federal, sin vigilancia pública. A no ser que la administración Trump decida cambiarlo, tenemos muchas probabilidades de seguir desinformados. Es decir, hasta el próximo gran ciberataque.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. Humanos y máquinas deben colaborar en lugar de ser rivales, según una experta del MIT

    Mientras muchos se preocupan por la destrucción de empleos que generará la inteligencia artificial, la directora del Laboratorio de Ciencias de la Computación e IA del MIT, Daniela Rus, afirma que combinar las capacidades de humanos y máquinas es lo que genera mejores rendimientos

  2. "Aún no hemos resuelto la inteligencia artificial. Lo que tenemos ahora no es inteligencia"

    El neurocientífico Tomaso Poggio, que fue profesor de algunos de los líderes de la IA actuales, cree que dominar el ajedrez y la conducción no está resolviendo el reto de la inteligencia humana, el cual considera como "el mayor problema de la ciencia", y cree que la solución está en nuestro propio cerebro

  3. Los ordenadores cuánticos podrían acabar con Bitcoin en sólo una década

    La enorme potencia computacional que alcanzarán de aquí a 2027 podría destrozar los protocolos de seguridad que han hecho tan popular a la criptomoneda, además de cualquier otro método de seguridad criptográfica basado en las mismas técnicas. Revisar los protocolos es imperativo y urgente