Mientras amaina la tormenta y el mundo se recupera del ataque mundial con ransomware que ha bloqueado sistemas en más de 150 países desde el vie es pasado, el oscuro proceso del Gobie o de Estados Unidos para recopilar y revelar las vulnerabilidades detectadas en el software vuelve a someterse al escrutinio de la opinión pública.
nHay muchos culpables de la escala y eficacia del ataque de este fin de semana en el que un virus ransomware llamado WannaCry –también WannaCrypt y Wanna Decryptor– se aprovechó de una vulnerabilidad de seguridad de Windows XP. Para empezar, Microsoft dejó de ofrecer soporte para esa versión de su sistema operativo en 2014, por lo que cualquiera que utilice ese software desactualizado está en peligro. (Una vez que Microsoft supo que la vulnerabilidad estaba siendo explotada con un programa malicioso, la compañía lanzó una actualización con rapidez, una medida poco usual para un software tan antiguo).
nEl presidente y director legal de Microsoft, Brad Smith, señaló que el Gobie o estadounidense también tiene parte de la culpa. Según parece, los atacantes utilizaron un exploit robado a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) por un grupo de ciberdelincuentes llamado Shadow Brokers. En una nueva entrada de blog, Smith criticó la práctica habitual de la agencia de acumular vulenerabilidades y errores de software: "Necesitamos que los gobie os consideren los daños a civiles que provoca el almacenamiento compulsivo de vulnerabilidades y el uso de esos exploits".
nEl Gobie o de EEUU cuenta con un sistema creado para valorar el riesgo de dar una conocer una vulnerabilidad crítica de software o mantenerla en secreto. Sin embargo, poco se entiende y explica en público sobre cómo funciona el llamado Proceso de Equidad de Vulnerabilidades (VEP, por sus siglas en inglés). Hace ya un tiempo que los defensores de la privacidad piden más transparencia al respecto con escaso éxito.
nSe cree que el protocolo VEP existe desde 2010 pero permaneció en secreto hasta 2014, cuando la Casa Blanca y el Director de Inteligencia Nacional enviaron un comunicado en el que desmentían la información publicada por Bloomberg en la que se afirmaba que la NSA conocía y usaba desde hace años una brecha de seguridad en la encriptación de las comunicaciones por inte et, la llamada Heartbleed (hemorragia de corazón). El coordinador de ciberseguridad del presidente Barack Obama, Michael Daniel, afirmó entonces que la administración había "establecido un disciplinado y riguroso proceso de toma de decisiones de alto nivel para la divulgación de vulnerabilidades".
nLa respuesta a la pregunta de si el Gobie o federal de EEUU debería ocultar o no la existencia de esas vulnerabilidades "puede parecer obvia para algunas personas", dijo Daniel en ese momento, pero "la realidad es mucho más complicada". Revelar una vulnerabilidad podría llevar a Estados Unidos a "renunciar a una oportunidad de recopilar inteligencia crucial que podría frustrar un ataque terrorista", señaló. No obstante, el proceso de toma de decisiones del Gobie o estaba "sesgado a favor de divulgar de manera responsable la existencia de cualquier problema de seguridad".
nEn enero de 2016, gracias a una demanda basada en la Ley por la Libertad de la Información e interpuesta por la Fundación Frontera Electrónica, el Gobie o estadounidense publicó un documento parcialmente redactado que explicaba el VEP. Dejó sin aclarar cómo se toman exactamente las decisiones, quién las toma y cuántas vulnerabilidades secretas posee el Gobie o. El investigador de la Universidad de Columbia (EEUU) e investigador de Atlantic Council Jason Healey calcula que el número se cuenta por decenas.
nLos últimos acontecimientos siembran dudas de la supuesta inclinación del sistema hacia la revelación de vulnerabilidades, tal y como aseguraba Daniels. En un reciente trabajo de investigación, construido sobre la base de entrevistas y declaraciones públicas del Gobie o sobre el VEP, Healey concluye que la NSA debería haber dado a conocer "con casi total seguridad" las vulnerabilidades de una filtración anterior obtenida por Shadow Brokers a las empresas afectadas, incluidas Cisco, Juniper y Fortinet. El FBI también debería haber informado a Apple de la vulnerabilidad que empleó el año pasado para acceder al iPhone de uno de los tiradores de los ataques de San Be ardino (EEUU), escribió Healey.
nDesafortunadamente, la perspectiva de una mayor transparencia –y la rendición de cuentas que la acompañaría– no parece que vaya a materializarse en un futuro previsible. El VEP está controlado por el brazo ejecutivo del Gobie o federal, sin vigilancia pública. A no ser que la administración Trump decida cambiarlo, tenemos muchas probabilidades de seguir desinformados. Es decir, hasta el próximo gran ciberataque.
n