El letrero de Microsoft en la parte superior del Teatro Microsoft en Los Ángeles, California, EE.UU. el 19 de octubre de 2018. REUTERS/Mike Blake

Falla de seguridad de Windows: NSA avisa a Microsoft en lugar de aprovecharla

Las fallas de seguridad no son algo nuevo en el horizonte de la informática. En el transcurso de la historia reciente, las empresas de tecnología que han encontrado este tipo de brechas han utilizado los datos recogidos a partir de grietas para beneficio propio o para vender los datos colectados. En este caso, y en contra de todas las suposiciones, la Agencia Nacional de Seguridad (NSA) de Estados Unidos, alertó a Microsoft sobre una peligrosa brecha de seguridad en el sistema operativo Windows 10 que podría exponer a los usuarios a graves violaciones de datos o vigilancia extrema en lugar de aprovecharla para someter a los usuarios a un mayor control. 

NSA logo – iStochPhoto.com

La NSA, ente que se encarga de la seguridad de la información en Estados Unidos, y que ha sido señalada después de los atentados contra las Torres Gemelas como una de las instituciones que más ha espiado a los ciudadanos estadounidenses y extranjeros en pro de la lucha contra el terrorismo violando todo tipo de derechos civiles, reconoció haber descubierto esta brecha y alertó a la empresa para que tomara cartas en el asunto, informó inicialmente el diario Washington Post. 

REUTERS/Dado Ruvic/Illustration

Esta institución ya había utilizado en el pasado el ransomware WannaCry (virus tipo criptogusano) que abría una vulnerabilidad de Windows para espiar y recolectar datos de los usuarios utilizando un fragmento de software o “exploit” supuestamente desarrollado por la misma NSA conocido popularmente como “EternalBlue”.   

Según el artículo de Ellen Nakashima, reportera de seguridad nacional del diario Washington Post, la divulgación de este problema y el alerta emitido directamente a la empresa sobre los problemas que podría acarrear para el usuario común representan un cambio muy importante en el enfoque de la agencia gubernamental. La NSA en este caso, eligió poner la seguridad informática por delante de su provecho institucional, pues en otro momento, hubiera optado por crear una herramienta de hacking sin advertir a la empresa de la brecha. Esta falla fue descubierta en uno de los componentes criptográficos más antiguos de Windows, conocido como “CryptoAPI”. 

Según informó Microsoft en uno de sus sitios Web, un atacante podría aprovecharse de la vulnerabilidad utilizando un certificado de firma de código falso para firmar un ejecutable malicioso, haciendo parecer que el archivo proviene de una fuente legítima y de confianza de la empresa. En este contexto es casi imposible que el usuario advierta que se trata de un archivo malicioso teniendo en cuenta que todas las credenciales parecerían venir de un proveedor de confianza. 

REUTERS/Kai Pfaffenbach

Según informa el sitio Engadget, acciones urgentes fueron tomadas por parte de clientes críticos de Windows 10, incluyendo el ejército de EEUU y los administradores de la infraestructura clave de Internet. Luego de haber protegido a estructuras más sensibles, Microsoft envió actualizaciones urgentes para todos los clientes instando a los usuarios a instalar estos parches tan pronto como sea posible. Según los especialistas, esta brecha de seguridad fue calificada como de vulnerabilidad 1, la segunda más grave en el sistema de calificaciones interno de la empresa de las ventanas. Si bien no hay noticias sobre si ya fue explotada, la compañía confirmó que sigue siendo un problema grave de seguridad. 

Por su parte, la NSA a través de la directora de la Dirección de Seguridad Cibernética de la institución, Anne Neuberg, aseguró que esto es parte de un cambio de enfoque por parte de la agencia gubernamental. Lo que pretende la agencia es trabajar para compartir, para inclinarse hacia adelante, para compartir datos como parte de la construcción de la confianza. 

La noticia de este gesto de parte de la NSA fue muy bien recibida entre los expertos y profesionales de seguridad informática del mundo. Los tweets y mensajes mediante otras redes sociales se multiplicaron felicitando a dicha agencia por revelar voluntariamente a Microsoft la amplitud del problema. 

iStockPhoto.com

Según la CBC, con información de Associated Press, Priscilla Moriuchi, ex NSA que ahora trabaja como analista de una empresa de seguridad cibernética, aseguró que “este es un buen ejemplo del papel constructivo que la NSA puede desempeñar en la mejora d ela seguridad de la información mundial. Según Moriuchi, este cambio sea probablemente un resultado de los cambios realizados en 2017 en cuanto a la forma en que Estados Unidos determina si debe revelar una vulnerabilidad importante o explotarla con fines de inteligencia. 

En definitiva, la noticia fue tomada con beneplácito por la opinión pública en general. En lo que respecta a los usuarios en general de este sistema operativo, la acción más importante es instalar el parche de seguridad lanzado hace algunos días por la empresa Microsoft. El consejo de la empresa es, siempre que se pueda, dejar activadas las actualizaciones automáticas para evitar problemas mayores. 

Fuentes: Washington Post, Microsoft, Engadget, NSA PDF , CBC, agencias

Categorías: Internet y tecnología
Etiquetas:

¿Encontró un error? ¡Pulse aquí!

@*@ Comments

Deja un comentario

Aclaración: al enviarnos su comentario, usted reconoce que Radio Canadá Internacional tiene derecho a reproducir y a difundir el mismo, total o parcialmente, de la forma que fuere. Cabe destacar que Radio Canadá Internacional no endosa las opiniones vertidas por los internautas. Sus comentarios serán leídos y publicados si respetan las condiciones de nuestro sitio internet, aquí denominadas “Netiqueta”.

Netiqueta
Al verter sus opiniones en un foro público, debe ser igual de cortés que si estuviera frente a un interlocutor. No se tolerarán ataques ni insultos personales. Una cosa es no estar de acuerdo con una opinión, una idea o un hecho, y otra es faltar el respeto al prójimo. Las personas elocuentes no siempre están de acuerdo, y justamente ahí reside el interés de los foros.

La «netiqueta» es el conjunto de reglas de conducta que rigen el comportamiento de los internautas. Antes de intervenir en una tribuna, es importante conocer estas reglas. Caso contrario, usted corre el riesgo de ser expulsado.

  1. Los foros de RCInet.ca no son anónimos. Al inscribirse, los usuarios deben ingresar su nombre, apellido y lugar de residencia. Estos datos aparecerán junto al comentario. RCInet.ca se reserva el derecho de no publicar un comentario si duda de la identidad de su autor.
  2. La usurpación de identidad con la intención de inducir a error o de perjudicar a un tercero es una infracción grave plausible de expulsión.
  3. Los foros de RCInet.ca están abiertos a todos, sin distinción de edad, origen étnico, religión, género ni orientación sexual.
  4. Las declaraciones difamatorias, agresivas, racistas, xenófobas, homofóbicas, sexistas o prejuiciosas hacia algún origen étnico, religión o franja etaria no serán publicadas.
  5. En Internet, las mayúsculas equivalen a gritos y pueden ser interpretadas como un signo de agresividad, lo cual resulta desagradable para los demás. Todo mensaje que contenga una o varias palabras en mayúscula (con excepción de las siglas y los acrónimos) será rechazado. Igual suerte correrán los mensajes que contengan una o varias palabras en letra negrita, itálica o subrayada.
  6. El lenguaje vulgar, obsceno o malintencionado está prohibido. Los foros son lugares públicos y sus declaraciones podrían herir la sensibilidad de otros internautas. Las personas que utilicen un lenguaje grosero serán expulsadas.
  7. El respeto mutuo es una condición de base. Por eso mismo está prohibido injuriar, amenazar o acosar a otro usuario. Usted puede expresar su desacuerdo sin atacar al prójimo.
  8. El intercambio de opiniones y puntos de vista discordantes es un elemento clave en todo debate sano, pero no debe transformarse en un diálogo ni en una discusión privada entre dos participantes que se interpelan sin importarles lo que piensen los demás. Los mensajes de esta naturaleza no serán publicados.
  9. Radio Canadá Internacional emite en cinco lenguas. Los debates en los foros deben realizarse en la misma lengua que el contenido al que hacen referencia o en uno de los dos idiomas oficiales, inglés o francés. El uso de otras lenguas, con excepción de unas pocas palabras, está prohibido.
  10. Los mensajes que no tengan relación con el tema comentado no serán publicados.
  11. El envío reiterado de un mismo mensaje perjudica el intercambio de opiniones y por ende no será tolerado.
  12. La inserción de imágenes o de cualquier otro tipo de archivo en un comentario está prohibida. La inclusión de hipervínculos hacia otros sitios está permitida, a condición de que se respete la “netiqueta”. Sin embargo, Radio Canadá Internacional no es responsable del contenido de estos sitios externos.
  13. La copia de texto de un tercero, aun cuando se incluya la referencia al autor, es inaceptable si la citación constituye la mayor parte del comentario.
  14. La publicidad y la convocación a movilizaciones, de cualquier forma que fuere, está prohibida en los foros de Radio Canadá Internacional.
  15. Todos los comentarios y contenidos son evaluados antes de su publicación. Radio Canadá Internacional se reserva el derecho de no publicar los mensajes de los internautas.
  16. En todo momento y sin preaviso, Radio Canadá Internacional se reserva el derecho de cerrar un foro.
  17. Radio Canadá Internacional se reserva el derecho de modificar este conjunto de reglas de conducta (netiqueta) en cualquier momento y sin preaviso.
  18. Al participar en un foro, usted autoriza a Radio Canadá Internacional a publicar sus comentarios en Internet por un periodo de tiempo indeterminado. Esto significa asimismo que los mensajes serán indexados por los motores de búsqueda de Internet.
  19. Radio Canadá Internacional no está obligada, bajo ningún punto de vista, a retirar sus comentarios de Internet, aunque usted así lo requiriere. Por este motivo, le rogamos que reflexione detenidamente sobre el contenido y las posibles consecuencias de los mensajes que nos envía.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*