La Agencia Nacioanl de Seguridad (NSA) de Estados Unidos sabía desde hace dos años sobre la vulnerabilidad presentada en los sitios, que ahora se conoce como 'Heartbleed', y regularmente hizo uso de ésta para obtener información, aseguraron dos personas familiarizadas con el tema.
La decisión de la NSA para mantener el error en secreto y usarlo para los intereses de seguridad nacional revive el debate sobre el papel de los principales expertos en informática del gobierno.
Heartbleed parece ser uno de los más grandes problemas técnicos en la historia de internet, una falla en la seguridad básica de dos terceras partes de todos los sitios web del mundo. Su descubrimiento y la solución propuesta por expertos llevaron a los consumidores a cambiar sus contraseñas, al gobierno de Canadá a suspender la declaración de impuestos y a compañías de computación, incluyendo Cisco Systems Inc. Y Juniper Networks Inc. ha proporcionar parches para sus sistemas.
Al poner el bug Heartbleed en su arsenal, la NSA fue capaz de obtener contraseñas y otros datos básicos que contribuyeron a las operaciones de heckeo más sofisticadas. Millones de usuarios comunes quedaron vulnerables a los ataques de las agencias de inteligencia de otras naciones y de los hackers.
PRÁCTICA CONTROVERSIAL
"Esto va en contra de los comentarios de la NSA sobre que la seguridad es primero", dijo Jason Healey, director de la estrategia cibernética en el Consejo del Atlántico y ex oficial de inteligencia cibernética de la Fuerza Aérea.
"Ellos van estar muy destrozados por la seguridad computacional", agregó.
GOBIERNO RESPONDE
Vanee Vines, vocera de la NSA, rechazó comentar sobre el conocimiento y uso del bug.
Por otras parte, la Casa Blanca dijo que ni la Agencia de Seguridad Nacional ni otro departamento gubernamental sabían del error de seguridad "Heartbleed", negando un reporte de que la agencia de espionaje explotó la falla para recopilar datos.
Los reportes de que la NSA o cualquier otra parte del Gobierno estaba al tanto de la llamada vulnerabilidad 'Heartbleed' antes de abril de 2014 están errados", dijo en un comunicado la portavoz del Consejo de Seguridad Nacional de la Casa Blanca, Caitlin Hayden.
"Esta administración se toma en serio su responsabilidad de ayudar a mantener un internet abierto, operable, seguro y confiable", agregó Hayden.
Expertos señalan que la búsqueda de fallas es fundamental para la misión de la NSA, aunque la práctica es controvertida.
Una iniciativa presidencial que revisa las actividades de la agencia estadounidense tras las revelaciones del excontratista Edward Snowden recomendó detener las vulnerabilidades en software.
La NSA y otras importantes agencias de inteligencia invierten millones de dólares para descubrir vulnerabilidades que puedan comprometer el robo de datos electrónicos. Los códigos abiertos como el OpenSSL, en donde se encontró la vulnerabilidad, son uno de los objetivos clave.
La falla 'Heartbleed', que se introdujo a principios de 2012 en el código OpenSSL, muestra uno de los defectos de los códigos abiertos.
CÓDIGO LIBRE
Mientras que son muchas las compañías que se basan en código libre, la realidad es que su seguridad depende de un pequeño número de investigadores que son insuficientemente financiados.
En contraste, la NSA tiene más de mil expertos en los que invierte y que usan técnicas sofisticadas de análisis.
La agencia encontró el bug Heartbleed poco después de que éste fuera introducido y se convirtió en una herramienta importante para robar contraseñas y otros datos, de acuerdo con las dos personas familiarizadas en la materia.
DEFECTOS CLAVE
Los usuarios comunes de Internet están amenazados por las fallas que aún no son reparadas, exponiendo sus datos a organizaciones criminales y de espionaje internacional, dijo John Pescatore, director de amenazas de seguridad en el instituto SANS.
Cuando los investigadores encontraron la falla y la hicieron pública el 7 de abril pasado, esto pone en evidencia una verdad incómoda: El público puede estar confiando de sobremanera en la capacidad de los desarrolladores de software y hardware para proteger sus operaciones más sensibles.
"Nunca habíamos visto algo como esto", dijo Michael Sutton, vicepresidente de investigación de seguridad en el instituto de seguridad Zscaler de San José, California. "No sólo afecta a una gran proporción de los usuarios en internet, el daño que se puede hacer, con facilidad, es inmenso", señaló.
FALLAS EN EL CÓDIGO
La problemática se debe a una falla en el protocolo que se usa para encriptar las comunicaciones entre los usuarios y los sitios que están protegidos por el OpenSSL, haciendo los sitios supuestamente seguros, un libro abierto. El daño se podría hacer con relativa facilidad, por lo que millones de máquinas podrían ser atacadas por un solo hacker.
Aún quedan preguntas por resolver, por ejemplo si la vulnerabilidad pudo haber sido explotada antes de que se diera a conocer.
Si los criminales encontraron la falla antes de las soluciones que se presentaron esta semana, pudieron haber recogido un montón de contraseñas de cuentas de banco, de sitios de comercio online y de cuentas de correo alrededor del mundo.
DATOS COMUNES
El hecho de que existía la vulnerabilidad en la transmisión de datos comunes pudo haber sido un factor en la decisión de los funcionarios de la NSA para mantenerlo en secreto, dijo James Lewis, investigador principal de seguridad cibernética en el Centro de Estudios estratégicos e Internacionales.
"De hecho el proceso de cuando encuentran este tipo de fallas es ir con el director de la agencia" dijo Lewis.
Lewis dijo que la NSA tiene una gama de opciones, incluida la explotación de las vulnerabilidades para obtener los datos por un corto período de tiempo y luego ponerse en contacto con discreción con los fabricantes de software o investigadores de código abierto para arreglarlas.
UN HISTORIAL DE PROBLEMAS
El protocolo SSL tiene un historial de problemas de seguridad, dijo Lewis.
"Yo sabía que los hackers podían romperlo hace casi 15 años", dijo Lewis sobre el SSL.