Foto: Los altos dirigentes de la comunidad de inteligencia y seguridad estadounidense guardan silencio sobre las vulnerabilidades del software. Crédito: Chip Somodevilla.

Mientras amaina la tormenta y el mundo se recupera del ataque mundial con ransomware que ha bloqueado sistemas en más de 150 países desde el viernes pasado, el oscuro proceso del Gobierno de Estados Unidos para recopilar y revelar las vulnerabilidades detectadas en el software vuelve a someterse al escrutinio de la opinión pública.

Hay muchos culpables de la escala y eficacia del ataque de este fin de semana en el que un virus ransomware llamado WannaCry –también WannaCrypt y Wanna Decryptor– se aprovechó de una vulnerabilidad de seguridad de Windows XP. Para empezar, Microsoft dejó de ofrecer soporte para esa versión de su sistema operativo en 2014, por lo que cualquiera que utilice ese software desactualizado está en peligro. (Una vez que Microsoft supo que la vulnerabilidad estaba siendo explotada con un programa malicioso, la compañía lanzó una actualización con rapidez, una medida poco usual para un software tan antiguo).

El presidente y director legal de Microsoft, Brad Smith, señaló que el Gobierno estadounidense también tiene parte de la culpa. Según parece, los atacantes utilizaron un exploit robado a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) por un grupo de ciberdelincuentes llamado Shadow Brokers. En una nueva entrada de blog, Smith criticó la práctica habitual de la agencia de acumular vulenerabilidades y errores de software: "Necesitamos que los gobiernos consideren los daños a civiles que provoca el almacenamiento compulsivo de vulnerabilidades y el uso de esos exploits".

El Gobierno de EEUU cuenta con un sistema creado para valorar el riesgo de dar una conocer una vulnerabilidad crítica de software o mantenerla en secreto. Sin embargo, poco se entiende y explica en público sobre cómo funciona el llamado Proceso de Equidad de Vulnerabilidades (VEP, por sus siglas en inglés). Hace ya un tiempo que los defensores de la privacidad piden más transparencia al respecto con escaso éxito.

Se cree que el protocolo VEP existe desde 2010 pero permaneció en secreto hasta 2014, cuando la Casa Blanca y el Director de Inteligencia Nacional enviaron un comunicado en el que desmentían la información publicada por Bloomberg en la que se afirmaba que la NSA conocía y usaba desde hace años una brecha de seguridad en la encriptación de las comunicaciones por internet, la llamada Heartbleed (hemorragia de corazón). El coordinador de ciberseguridad del presidente Barack Obama, Michael Daniel, afirmó entonces que la administración había "establecido un disciplinado y riguroso proceso de toma de decisiones de alto nivel para la divulgación de vulnerabilidades".

La respuesta a la pregunta de si el Gobierno federal de EEUU debería ocultar o no la existencia de esas vulnerabilidades "puede parecer obvia para algunas personas", dijo Daniel en ese momento, pero "la realidad es mucho más complicada". Revelar una vulnerabilidad podría llevar a Estados Unidos a "renunciar a una oportunidad de recopilar inteligencia crucial que podría frustrar un ataque terrorista", señaló. No obstante, el proceso de toma de decisiones del Gobierno estaba "sesgado a favor de divulgar de manera responsable la existencia de cualquier problema de seguridad".

En enero de 2016, gracias a una demanda basada en la Ley por la Libertad de la Información e interpuesta por la Fundación Frontera Electrónica, el Gobierno estadounidense publicó un documento parcialmente redactado que explicaba el VEP. Dejó sin aclarar cómo se toman exactamente las decisiones, quién las toma y cuántas vulnerabilidades secretas posee el Gobierno. El investigador de la Universidad de Columbia (EEUU) e investigador de Atlantic Council  Jason Healey calcula que el número se cuenta por decenas.

Los últimos acontecimientos siembran dudas de la supuesta inclinación del sistema hacia la revelación de vulnerabilidades, tal y como aseguraba Daniels. En un reciente trabajo de investigación, construido sobre la base de entrevistas y declaraciones públicas del Gobierno sobre el VEP, Healey concluye que la NSA debería haber dado a conocer "con casi total seguridad" las vulnerabilidades de una filtración anterior obtenida por Shadow Brokers a las empresas afectadas, incluidas Cisco, Juniper y Fortinet. El FBI también debería haber informado a Apple de la vulnerabilidad que empleó el año pasado para acceder al iPhone de uno de los tiradores de los ataques de San Bernardino (EEUU), escribió Healey.

Desafortunadamente, la perspectiva de una mayor transparencia –y la rendición de cuentas que la acompañaría– no parece que vaya a materializarse en un futuro previsible. El VEP está controlado por el brazo ejecutivo del Gobierno federal, sin vigilancia pública. A no ser que la administración Trump decida cambiarlo, tenemos muchas probabilidades de seguir desinformados. Es decir, hasta el próximo gran ciberataque.