NSA

La empresa de seguridad RSA, especializada en sistemas de cifrado, recibió 10 millones de dólares de la agencia de seguridad estadounidense NSA como pago por publicar un sistema de cifrado que pudiesen romper con facilidad. Una serie de documentos filtrados por Edward Snowden desvelaron el fallo de seguridad intencionado y ahora fuentes consultadas por la agencia de noticias Reuters aseguran que se pagó a la compañí­a por distribuir el software inseguro.

Según dichas fuentes, el fallo de seguridad fue creado de forma deliberada por la NSA, que publicó un sistema de generación de números pseudoaleatorios ”“una de las piezas fundamentales de los sistemas de cifrado”“ que les permite saltarse los sistemas de seguridad basados en él. Posteriormente, RSA utilizó dicho sistema en una herramienta de cifrado llamada BSafe.

RSA

Este software, que se apoya en el algoritmo creado por NSA, genera números aleatorios en la mayor parte de las ocasiones, pero intercala entre ellos una serie de cifras predeterminadas que permiten a un atacante que las conozca romper cualquier información cifrada con BSafe. Por la naturaleza del fallo, en principio no parece que nadie fuera de la agencia de seguridad haya podido romper el cifrado con facilidad. Sin embargo, que toda la seguridad de un sistema de cifrado se base en conocer una secuencia de números concreta no está lejos del alcance de los analistas especializados.

La herramienta se integra en desarrollos de software para ofrecer cifrado seguro. Según la web de RSA, BSafe se utiliza en miles de programas. La cifra exacta es desconocida, pero es muy probable que se trate tanto de programas comerciales como de desarrollos ad hoc para empresas que han utilizado BSafe para disponer de un sistema que asegure sus datos y comunicaciones. Sin embargo, el gobierno estadounidense podí­a acceder a dichos datos.

La reacción de RSA ante el fallo de seguridad, revelado en septiembre en los documentos filtrados por Edward Snowden, consistió en solicitar a los usuarios que dejasen de utilizar la fórmula creada por la NSA por no ser segura. Una advertencia que parecí­a legí­tima, en especial por provenir de una compañí­a fundada por profesores del MIT, con una larga trayectoria de defender posturas favorables a la privacidad de los usuarios, en ocasiones enfrentada a las posiciones del gobierno de EEUU.

RSA y su compañí­a matriz, EMC, han asegurado que «RSA siempre actúa en el mejor interés de sus clientes y bajo ninguna circunstancia diseña o habilita ninguna puerta trasera [backdoor] en sus productos. Las decisiones sobre las caracterí­sticas y funciones de los productos de RSA son nuestras». Precisamente de puerta trasera calificó el fallo de seguridad Bruce Scheiner, una de las grandes autoridades en materia de cifrado y editor del boletí­n de seguridad Crypto-gram. La NSA no ha ofrecido ningún tipo de explicación.

 

 

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día

I will never give away, trade or sell your email address. You can unsubscribe at any time.