El ataque WannaCry: militarismo contra avaricia

Señalar con el dedo sobre el reciente ataque de ransomware WannaCry ha comenzado en serio, y no le faltan culpables, aunque Corea del Norte es el foco principal. Pero en el juego de la culpa, han surgido otros candidatos para la crítica, nada menos que la NSA y Microsoft.


Liderando el desfile de expertos, encuestas y ejecutivos al mirar a la NSA y su gente es el presidente de Microsoft, Brad Smith (como es de esperar, dado que fueron las computadoras Windows las que fueron golpeadas en el ataque, más sobre eso más adelante).

La ofensiva de la NSA de "coleccionar todo", alimentada por su voraz apetito de información, condujo a su "acumulación" de debilidades de software. Luego perdió el control sobre sus "armas", para disgusto de Smith y otros. Al comparar la situación con la seguridad sobre el armamento militar, que está cuidadosamente vigilado, Smith opinó:

“Este es un patrón emergente en 2017. Hemos visto vulnerabilidades almacenadas por la CIA en WikiLeaks, y ahora esta vulnerabilidad robada de la NSA ha afectado a clientes de todo el mundo. En repetidas ocasiones, las hazañas en manos de los gobiernos se han filtrado al dominio público y han causado daños generalizados. Un escenario equivalente con armas convencionales sería que el ejército de EE. UU. Tuviera algunos de sus misiles Tomahawk robados. Y este ataque más reciente representa un vínculo totalmente involuntario pero desconcertante entre las dos formas más graves de amenazas de ciberseguridad en el mundo de hoy: la acción de la nación-estado y la acción criminal organizada ".

Él hace un punto, pero eso no exonera a Microsoft en este lío. La raíz del problema es la acumulación secreta de debilidades en los sistemas de las empresas por parte de las agencias gubernamentales, generalmente sin alertar a las empresas en cuestión de estos defectos. Si lo hubieran hecho, Microsoft (en este caso) podría haber reescrito su software para corregir el problema..

Esto no es casual, debe tenerse en cuenta. No, es un esfuerzo dedicado y concertado para retener información valiosa de empresas privadas (y, por lo tanto, del público) en nombre de la seguridad nacional. Esta iniciativa tiene un nombre: el Proceso de Equidad Vulnerable (VEP).

El VEP está destinado a equilibrar las ventajas obtenidas al mantener en secreto una vulnerabilidad de software dada, frente a los riesgos potenciales para el mundo en general. Esto, por cierto, parece ser un reflejo de programas menos formales, en los que el gobierno se ha negado a presentar condenas, y dejar que los perpetradores caminen, en lugar de revelar detalles de sus negocios secretos (especialmente en los casos de Stingray). En esos casos, el gobierno no divulgaría información sobre los sistemas, a instancias del fabricante, Harris Corporation.

El VEP es más peligroso y el problema está más extendido que en el caso de los fiscales de Stingray que retiran los cargos. Cuando las agencias acumulan tales tesoros de información, están tentando al destino. Es como una bomba de tiempo antes de que la información se filtre a los malos actores. Parece que Washington ahora está plagado de filtraciones, tal vez más que nunca.

Esto puede explicar el ataque del ransomware WannaCry. Los guardianes secretos de nuestra nación no han podido mantener sus armas a salvo de los Brokers de las Sombras y Wikileaks.

El congresista de California Ted Lieu (D-CA), pidiendo una legislación para abordar la situación de VEP, dijo,

"El ataque de ransomware mundial de hoy muestra lo que puede suceder cuando la NSA o la CIA escriben malware en lugar de revelar la vulnerabilidad al fabricante del software".

Esto se debe a que las herramientas de las agencias no solo han sido violadas y cooptadas, sino que han sido armadas contra importantes instituciones a nivel mundial, incluidos hospitales, universidades y corporaciones..

Hay suficiente culpa en esta debacle para dar la vuelta. La NSA es culpable de descubrir vulnerabilidades en varias versiones de Windows y de escribir programas que permitan a los espías estadounidenses penetrar en las computadoras que ejecutan el sistema operativo de Microsoft. Uno de esos programas, el código llamado ETERNALBLUE, permitió que WannaCry se extendiera tan rápido e incontrolablemente como lo hizo la semana pasada. No, la NSA no creó WannaCry, pero su negligencia le permitió filtrarse.

Luego, Microsoft es culpable, por permitir que millones de usuarios usen software obsoleto (algunos con una antigüedad de 15 años), y no indica que estos usuarios de software antiguo serían vulnerables a las nuevas realidades. Finalmente, no podemos encontrarnos a nosotros mismos (propietarios de computadoras y administradores de TI) sin culpa, por no mantener actualizado el software.

Por supuesto, dados los sistemas operativos de mala calidad de Microsoft, su escritura de códigos inseguros y su caída de la compatibilidad con versiones anteriores de Windows que todavía se usan ampliamente, nuestra negligencia es comprensible. Y así va el juego de la culpa.

Es casi un punto muerto, en la medida en que la policía y los tipos de espías quieren continuar desarrollando armas en las sombras, y compañías como Microsoft quieren vender productos, lo que significa hacia adelante y hacia arriba, sin prestar mucha atención a lo que sucedió antes. Llámelo militarismo versus maximización de ganancias.

¿Cual es tu opinion? ¿Cuál es tu posición? ¿Crees que la NSA prioriza en exceso los medios de desarrollo para disuadir a los adversarios sobre la privacidad y seguridad del ciudadano común? ¿O crees que el péndulo ha oscilado demasiado hacia la seguridad nacional a toda costa? Otra pregunta importante a considerar: ¿Dónde se encuentra el ciudadano promedio en lo que parece ser una carrera interminable hacia el fondo??

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me