Clicky

La agencia de inteligencia estadounidense alerta a Microsoft sobre una vulnerabilidad en Windows

NSA

Por lo general, se mantendría en silencio y explotaría la falla

La Agencia de Seguridad Nacional estadounidense (NSA) ha dado un paso importante hacia la protección de los sistemas informáticos del mundo, alertando a Microsoft de una vulnerabilidad en su sistema operativo Windows en lugar de guardar silencio y explotar la falla para desarrollar armas cibernéticas como lo haría normalmente la agencia, dijeron el martes personas familiarizadas con el asunto.

La advertencia permitió a Microsoft desarrollar un parche para el problema, y parece ser un cambio de estrategia para la agencia de inteligencia. En años pasados, la N.S.A. ha reunido y acumulado todo tipo de vulnerabilidades informáticas, usándolas para obtener acceso a redes informáticas para recopilar información y desarrollar armas cibernéticas para usar contra enemigos estadounidenses.

Pero esa política fue criticada cuando la N.S.A. perdió el control de algunas de esas herramientas, que en los últimos años cayeron en manos de ciberdelincuentes y otros actores maliciosos, incluidos piratas informáticos norcoreanos y rusos.

El N.S.A. se estableció para discutir la decisión de alertar a Microsoft más tarde en el día. El Washington Post informó anteriormente su advertencia a Microsoft, que estaba programado para lanzar un parche para la vulnerabilidad el martes.

La decisión de la N.S.A. de revelar la falla a Microsoft, y luego anunciar públicamente su movimiento, está en marcado contraste con la forma en que manejó otra falla que descubrió, pero le dijo a Microsoft que era demasiado tarde para evitar daños globales.

A principios de 2017, funcionarios de la N.S.A. dijeron al presidente de Microsoft, Brad Smith, que había encontrado una falla en sus sistemas operativos, pero la perdió ante un grupo llamado Shadow Brokers, quienes de alguna manera obtuvieron herramientas de pirateo que Estados Unidos había usado para espiar a otros países. La N.S.A. había sabido sobre la falla por algún tiempo, pero la ocultó, pensando que algún día podría ser útil para la vigilancia o el desarrollo de una arma cibernética.

Pero cuando se filtró el arsenal de fallas de la agencia, presumiblemente a través de expertos, aunque el N.S.A. nunca lo ha dicho, entre ellos estaba el código apodado "Eternal Blue". Si bien Microsoft había corrido para hacer que la gente parcheara el código erróneo, muchos sistemas permanecieron desprotegidos.

Pronto, los hackers norcoreanos usaron el código para desarrollar "WannaCry", un software que paralizó el sistema de salud británico, que utilizaba una versión desactualizada de Microsoft Windows. Y los hackers rusos lo usaron en los ataques de NotPetya, entre los ataques cibernéticos más dañinos de la historia, que costaron cientos de millones de dólares a compañías como FedEx y Maersk, el gigante del transporte marítimo.

La agencia rechazó la idea de que era responsable del uso malicioso del código, argumentando que la responsabilidad recaía en Corea del Norte y Rusia, que organizaron los ataques. Pero en privado, muchos funcionarios de la agencia reconocieron que la tendencia a acumular tales defectos con la esperanza de desarrollar armas había tenido un precio enorme y que Estados Unidos tenía cierta responsabilidad por el daño causado por Eternal Blue y otras herramientas.

Jesus_Caceres