La empresa de seguridad RSA, especializada en sistemas de cifrado, recibió 10 millones de dólares de la agencia de seguridad estadounidense NSA como pago por publicar un sistema de cifrado que pudiesen romper con facilidad. Una serie de documentos filtrados por Edward Snowden desvelaron el fallo de seguridad intencionado y ahora fuentes consultadas por la agencia de noticias Reuters aseguran que se pagó a la compañía por distribuir el software inseguro.
Según dichas fuentes, el fallo de seguridad fue creado de forma deliberada por la NSA, que publicó un sistema de generación de números pseudoaleatorios ”“una de las piezas fundamentales de los sistemas de cifrado”“ que les permite saltarse los sistemas de seguridad basados en él. Posteriormente, RSA utilizó dicho sistema en una herramienta de cifrado llamada BSafe.
Este software, que se apoya en el algoritmo creado por NSA, genera números aleatorios en la mayor parte de las ocasiones, pero intercala entre ellos una serie de cifras predeterminadas que permiten a un atacante que las conozca romper cualquier información cifrada con BSafe. Por la naturaleza del fallo, en principio no parece que nadie fuera de la agencia de seguridad haya podido romper el cifrado con facilidad. Sin embargo, que toda la seguridad de un sistema de cifrado se base en conocer una secuencia de números concreta no está lejos del alcance de los analistas especializados.
La herramienta se integra en desarrollos de software para ofrecer cifrado seguro. Según la web de RSA, BSafe se utiliza en miles de programas. La cifra exacta es desconocida, pero es muy probable que se trate tanto de programas comerciales como de desarrollos ad hoc para empresas que han utilizado BSafe para disponer de un sistema que asegure sus datos y comunicaciones. Sin embargo, el gobierno estadounidense podía acceder a dichos datos.
La reacción de RSA ante el fallo de seguridad, revelado en septiembre en los documentos filtrados por Edward Snowden, consistió en solicitar a los usuarios que dejasen de utilizar la fórmula creada por la NSA por no ser segura. Una advertencia que parecía legítima, en especial por provenir de una compañía fundada por profesores del MIT, con una larga trayectoria de defender posturas favorables a la privacidad de los usuarios, en ocasiones enfrentada a las posiciones del gobierno de EEUU.
RSA y su compañía matriz, EMC, han asegurado que «RSA siempre actúa en el mejor interés de sus clientes y bajo ninguna circunstancia diseña o habilita ninguna puerta trasera [backdoor] en sus productos. Las decisiones sobre las características y funciones de los productos de RSA son nuestras». Precisamente de puerta trasera calificó el fallo de seguridad Bruce Scheiner, una de las grandes autoridades en materia de cifrado y editor del boletín de seguridad Crypto-gram. La NSA no ha ofrecido ningún tipo de explicación.
Gracias, porque de esta forma los Europeos conocemos a nuestros aliados.jose moreno
Un ejemplo mas de que el uso de software privativo no ha de ser utilizado ni regalado.
exacto, que razón tiene stallman
Privativo o libre, en este caso es poco importante. La vulnerabilidad está en el algoritmo, Dual_EC_DRBG, que es de dominio público.
La lista de empresas que usan este algoritmo es mucho más extensa que los clientes de RSA (que son muchos) e incluye desde proveedores de infraestructura de red hasta sistemas operativos. También hay, por cierto, alguna fundación que desarrolla bajo licencias open source.
Esto no supone inmediatamente que el software sea vulnerable, y mucho menos que haya algún acuerdo inconfesable con la NSA, pero sí que el agujero de seguridad puede tener un alcance insospechado.
Eric Snowden candidato al nobel de la cordura
Ya lo he corregido, gracias por avisar. El primo Eric puede dormir tranquilo, no irá la NSA a buscarle. 😉