¿Recuerdas el caso Heartbleed? Hace ya un año y medio, salía a la luz un fallo importante en OpenSSL que afectaba a la mayoría de servidores y de aplicaciones que utilizaban HTTPS a nivel mundial (a fin de cuentas, es una librería muy popular). Los parches llegaron rápido y afortunadamente no hubo demasiados problemas que lamentar. Sin embargo, pronto surgió la polémica: ¿conocía la NSA con anterioridad el bug y no avisó de él para seguir utilizándolo?
Si bien la NSA lo desmintió, lo cierto es que, si algo hemos aprendido de las filtraciones de Snowden, es que las agencias de seguridad estadounidenses aprovechan el más mínimo resquicio en la seguridad de un protocolo o programa para añadirlo a su lista de recursos. Un claro ejemplo era la versión modificada con malware de Xcode. Pero ¿hasta qué punto hace la NSA uso de estos bugs informáticos? En un documento publicado en su web, este organismo asegura haber avisado a los desarrolladores del 91% de las vulnerabilidades encontradas en sus programas o sistemas.
"En la gran mayoría de casos, el avisar con responsabilidad de una vulnerabilidad descubierta recientemente es claramente de interés nacional", explican en dicha sección. Sin embargo, también recalcan algunos inconvenientes: "el divulgar una vulnerabilidad puede significar renunciar a una oportunidad de recolectar inteligencia extranjera crucial que podría frustrar un atentado, detener el robo de la propiedad intelectual de nuestra nación o descubrir vulnerabilidades todavía más peligrosas que se estén utilizando para atacar nuestras redes".
¿Y el 9% de los bugs restantes de los que no avisan? "O bien fueron arreglados por sus propietarios o no se han divulgado por razones de seguridad nacional", añaden.
No qué, sino cuándo
Lo importante no es de cuántas vulnerabilidades "zero day" han alertado, sino en qué momento lo han hecho, según varias fuentes de inteligencia en activo y retiradas consultadas por Reuters. Un antiguo empleado de la Casa Blanca reconocía que lo más lógico era asumir que todos los bugs se aprovechan en un principio para conseguir información, mucho antes de avisar a las compañías propietarias de dichos sistemas con fallos.
Otras fuentes consultadas por el mismo medio reconocían que Estados Unidos aprovecha esta información para llevar a cabo sus propios ciberataques y ponían de ejemplo el virus Stuxnet, que recurría a vulnerabilidades hasta entonces desconocidas de Microsoft y Siemens. La autoría del mismo no ha sido reconocida oficialmente por ningún gobierno, pero algunas filtraciones aseguran que se trataba de un gusano programado por Estados Unidos e Israel con el fin de colarse en las instalaciones nucleares de Irán.
¿Cuánto tiempo pasa desde que detectan un fallo hasta que avisan y hasta qué punto se aprovechan de él? Ése es el gran misterio, y más teniendo en cuenta que la NSA es uno de los organismos que más exploits compra a terceros.