Seguridad

La NSA desmiente que conociera la existencia de Heartbleed

La NSA desmiente que conociera la existencia de Heartbleed
Escrito por Redacción TICbeat

La Agencia Nacional de Seguridad estadounidense niega haber aprovechado la vulnerabilidad detectada en OpenSSL para obtener información personal de los ciudadanos.

La Agencia Nacional de Seguridad estadounidense, la NSA, ha desmentido las informaciones que aseguran que tuvo conocimiento durante los dos últimos años de la existencia de la brecha de seguridad bautizada como Heartbleed, y decidió aprovecharla en beneficio propio, para sus prácticas de cibervigilancia.

A través de un tweet primero, y por medio, después, del director de Inteligencia Nacional, James Clapper, las autoridades estadounidenses han negado la información publicada recientemente por Bloomberg, en la que el medio citaba a dos fuentes anónimas que aseguraban que la NSA tuvo noticia de la existencia de este fallo en el protocolo OpenSSL casi desde el principio, pero no dijo nada porque lo estaba utilizando para obtener información de los ciudadanos.

Clapper ha asegurado, en declaraciones citadas por Recode, que dichas informaciones son erróneas, y que la NSA no estaba al corriente de la vulnerabilidad “recién identificada en OpenSSL” hasta que ésta fue desvelada en un informe sobre ciberseguridad, elaborado por investigadores de Google y Codenomicon.

El fallo de seguridad o bug conocido ahora como Heartbleed, bautizado así porque afecta a una función de OpenSSL llamada Heartbeat, ha permitido durante, al menos, dos años, que los hackers accedan a información personal de usuarios como sus credenciales y contraseñas, los datos de sus tarjetas bancarias o sus mensajes de correo electrónico y comunicaciones privadas.

Es imposible, además, comprobar cómo y cuánto ha sido aprovechada esta vulnerabilidad para robar información personal, porque el fallo no deja rastro al ser explotado. Las alarmas han saltado porque se calcula que ha afectado, en estos últimos años, a alrededor de dos tercios de todas las webs del planeta.

Según las fuentes citadas por Bloomberg, la NSA no fue la responsable de la creación de este fallo de seguridad, pero sí decidió ocultar su existencia para obtener la información que necesitaba y no reavivar el debate sobre sus métodos de vigilancia, tan encendido a lo largo del último año, con nuevas peticiones de información a plataformas como Google o Facebook.

Aunque es un secreto a voces que forma parte de la rutina diaria de la NSA y otras agencias de su naturaleza el buscar brechas de seguridad que le permitan obtener información de los usuarios, la Oficina del Director de Inteligencia Nacional, James Clapper, ha asegurado que siempre que se detectan nuevas vulnerabilidades de este tipo se informa abiertamente de su existencia.

El software de código abierto, como el protocolo OpenSSL, que, pese a estar presente en la mayoría de las webs de la red, depende de unos pocos científicos con no demasiado presupuesto, ha sido señalado siempre como uno de los objetivos de las agencias de inteligencia.

Foto cc: JeepersMedia

 

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.