Responsabiliza Microsoft a agencias gubernamentales del ciberataque
Luego de que las vulnerabilidades de software explotadas y filtradas por la NSA fueron utilizadas para infectar hasta 200,000 computadoras, Microsoft ha criticado a las agencias gubernamentales por acumular esos defectos y mantenerlos en secreto
Luego de que las vulnerabilidades de software explotadas y filtradas por la NSA fueron utilizadas por cibercriminales para infectar con ransomware hasta 200,000 computadoras que corrían Windows en los últimos tres días, Microsoft ha criticado a las agencias gubernamentales por acumular esos defectos y mantenerlos en secreto.
Una vulnerabilidad particular en Windows, filtrada por un equipo llamado Shadow Brokers, fue usada por los hackers de WannaCry para dar a su ransomware una característica de gusano, lo que permitió que se expandiera silenciosa y velozmente entre PCs vulnerables. Ese fallo fue explotado por una herramienta llamada EternalBlue y fue parchado por Microsoft a mediados de marzo, pero aquellos que no actualizaron sus equipos continuaron vulnerables a ataques, lo que resultó en el gigantesco hackeo que infectó al Servicio Nacional de Salud del Reino Unido, FedEx, Telefónica, Renault y Nissan, universidades estadounidenses, gobiernos rusos y cajeros automáticos chinos, entre muchos otros sistemas en 150 países.
El presidente y director jurídico de Microsoft, Brad Smith, dijo que, al mantener las debilidades del software en secreto, los desarrolladores se mantienen en tinieblas, no pueden publicar actualizaciones y sus clientes se quedan vulnerables a ataques como el que explotó este fin de semana. Smith comparó la filtración de herramientas de la NSA con el robo de misiles de militares estadounidenses, apuntando también a la filtración de las herramientas de hacking de la CIA por parte de WikiLeaks.
“Un escenario equivalente con armas convencionales sería que los militares estadounidenses vieran cómo son robados algunos de sus misiles Tomahawk. Este ataque representa un vínculo completamente involuntario pero desconcertante entre las dos formas más graves de las amenazas de ciberseguridad en el mundo de hoy —la acción del Estado-nación y la acción criminal organizada”, escribió Smith en una entrada en el blog de Microsoft publicada el domingo.
“Los gobiernos del mundo deberían tratar este ataque como una llamada de atención, necesitan adoptar un enfoque diferente y adherir al ciberespacio a las mismas reglas que se aplican a las armas en el mundo físico. Necesitamos que los gobiernos consideren los daños a los civiles que se derivan de acumular el conocimiento de esas vulnerabilidades y de explotarlas a través de sus herramientas.”
Smith pidió una “Convención Digital de Ginebra” que incluya “un nuevo requisito para que los gobiernos reporten vulnerabilidades a las empresas desarrolladoras de software en lugar de almacenarlas, venderlas o explotarlas”.
Las agencias de inteligencia, los contratistas privados del gobierno y los criminales desarrollan hacks para todo tipo de software y mantienen sus técnicas en secreto. El uso legal de sus herramientas ayuda a las investigaciones de las autoridades, las operaciones militares, y a crear sistemas de defensa contra ataques similares. Se han vuelto tan valiosos un hack para iPhone, por ejemplo, puede recibir un pago de más de 1 millón de dólares.
Rob Graham, un experto en seguridad que anteriormente desarrolló y vendió esas vulnerabilidades a título privado, dijo que la NSA tiene “mucha culpa por haber creado una herramienta y luego permitir que se filtrara a Internet”.
Pero, agregó Graham, fue “estúpido” creer que la NSA “se desarmaría unilateralmente” y que “el control de armas tratando de regular tales cosas es incluso más estúpido”.
“No hay diferencia entre el software legítimo que usamos para probar las redes y el software nocivo que usamos para hackear las redes. El código es el discurso, no hay forma de ‘controlar’ el software sin controlar el discurso”.
“La gente sigue poniendo ‘cyber’ frente a un concepto de mundo real como ‘arma’ y cree que aplican todos los mismos principios. No es así. Las armas cibernéticas no son nada parecido a un arma, todo lo que derive de esa analogía (como el control de ciberarmas) será defectuoso”. (Con información de Forbes)