Con todo el internet inseguro y enfocado a la falla reciente Heartbleed la NSA desapareció del mapa por unos días. Ahora ha sido el sitio Bloomberg.com el que ha traído de vuelta el tema pero con fuerza; la NSA sabía del bug y lo utilizó para reunir información.
Las suposiciones de mi compañero Miguel seguramente no resultan ser equivocadas. Según Bloomberg se reporta que “la NSA sabía del problema desde hace al menos 2 años (prácticamente su creación) y la utilizó regularmente para reunir inteligencia indicando como excusa la seguridad nacional” dijeron dos personas cercanas a la institución. Aún no se sabe qué información exactamente lograron recolectar con la ayuda de esta vulnerabilidad; por lo tanto no se asegura que haya sido precisamente una junta de datos de ciudadanos u otras cosas comparando con declaraciones anteriores contra la agencia.
En resumen: la NSA decidió que hacer uso del xploit era mejor usarlo como herramienta ofensiva, que usarla como defensiva para las demás tecnologías; esto quiere decir que para ellos es más importante recolectar información que la privacidad y/o seguridad de datos de cada uno.
Desde que se reportó esta vulnerabilidad (considerado el más grave error de seguridad en la historia del internet), compañías y servicios -sean grandes o pequeños- se han esforzado en proveer un parche para sus sistemas, cambiar las protecciones criptográficas y alertar a los usuarios para que hagan cambio de contraseña; incluso llegando a afectar routers también. Golpe que pudo haberse aminorado o evitar en caso de que la agencia hubiera reportado el error.
No es de menos decir que la NSA puede poseer varias vulnerabilidades más, incluso algunas que pueden utilizarse para romper a los equipos más sensibles del mundo; según una persona cercana a la institución. Jefes de inteligencia dicen que la habilidad de encontrar amenazas terroristas y comprender la intención de los líderes hostiles disminuiría enormemente si su uso fuera prohibido.
ACTUALIZACIÓN:
La NSA acaba de publicar en su twitter oficial que “no sabía del fallo hasta que fue publicado”:
Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.
— NSA/CSS (@NSA_PAO) April 11, 2014
Algo difícil de creer tomando en cuenta la historia desde el 2013… ¿a quién hay que creerle? ¡Deja tu opinión en los comentarios!