(CNNMoney) – El masivo ciberataque que está rondando alrededor del mundo ha revivido un debate: ¿en qué momento deberían las agencias de espionaje revelar vulnerabilidades de seguridad en el software de las empresas?
El ataque de ransomware (del inglés ransom, ‘rescate’, y ware, por software) llevado a cabo el pasado 12 de mayo afectó a unos 200.000 hospitales, empresas y oficinas gubernamentales en más de 150 países.
El ataque se extendió a través de una vulnerabilidad que se filtró el mes pasado en una colección oculta de herramientas de hacking que, se cree, pertenecen a la Agencia de Seguridad Nacional de EE.UU. (NSA, por sus siglas en inglés).
La NSA y otras agencias de espionaje buscan vulnerabilidades de software y luego construyen herramientas para atacarlas y explotarlas. Bajo las leyes actuales, no tienen que reportar las fallas a la empresa en riesgo; en vez de eso, pueden utilizarlas para reunir elementos de inteligencia o para aplicar la ley.
MIRA: Este es el país de Latinoamérica más afectado por el virus ‘WannaCry’
Las herramientas de hacking filtradas esparcieron una vulnerabilidad en Windows, el omnipresente sistema operativo de Microsoft.
Microsoft lanzó un parche en marzo pasado, pero los computadores y redes que no habían actualizado sus sistemas seguían en riesgo.
El ransomware, llamado WannaCry, bloquea todos los archivos de un computador infectado y pide al administrador del computador que pague para recuperar el control de los mismos.
Este viernes, el miembro de la Cámara de Representantes Ted Lieu anunció que está trabajando en la legislación para reformar el Proceso de Equidad de Vulnerabilidades, la manera en que el gobierno decide cuándo revelar vulnerabilidades. Lieu dijo que es “profundamente preocupante” el hecho de que la NSA probablemente creó el malware original utilizado para secuestrar computadores.
“El ataque mundial de ransomware muestra lo que puede suceder cuando la NSA o la Agencia Central de Inteligencia (CIA, por sus siglas en inglés) escriben malware, en lugar de revelar la vulnerabilidad al fabricante del software”, dijo Lieu en un comunicado.
LEE: ¿Por qué el ciberataque mundial con el virus ‘WannaCry’ debería hacernos llorar?
Microsoft liberó un parche un mes antes de que se filtrara públicamente, pero no está claro cuándo o si la NSA informo a la compañía sobre la vulnerabilidad. Lieu dijo que el proceso de divulgación actual no es transparente y a menudo es malinterpretado.
Neema Singh Guliani, consejera legislativa de la Unión Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés), dijo que el ataque de ransomware plantea preguntas sobre agencias que almacenan vulnerabilidades en lugar de revelarlas de manera responsable.
“Es particularmente preocupante cuando se habla de un software ampliamente disponible, cuando el impacto será sobre el público en general, no el puñado de objetivos que una agencia podría tener”, dijo Singh Guliani a CNNTech.
Algunos defensores de la privacidad dicen que si la NSA hubiera revelado la vulnerabilidad cuando se descubrió por primera vez, el brote pudo haberse evitado.
Edward Snowden, el denunciante que expuso el amplio alcance de la vigilancia de la NSA en el 2013, tuiteó: “Si la NSA hubiera revelado en privado la falla usada para atacar a los hospitales cuando la encontraron, y no cuando la perdieron, esto podría no haber ocurrido”.
Sin embargo, los investigadores de seguridad dicen que las firmas que no mantienen su software actualizado también son responsables del brote del ransomware. Las organizaciones tenían dos meses para actualizar sus productos de Microsoft, lo cual habría protegido sus sistemas.
“No se puede obligar a las empresas a cubrir las vulnerabilidades críticas de Windows”, dijo Adrian Sanabria, fundador de la empresa de seguridad Savage Security: “No importa cómo o cuándo fue revelada, un porcentaje de las empresas no la habrían aplicado”.
Los hospitales del Reino Unido se encontraron entre las organizaciones afectadas por el brote de ransomware y, por ende, se vieron forzados a reprogramar pacientes y se le advirtió a la gente que permaneciera lejos de las salas de urgencia si era posible.
En el 2016, la Motherboard informó que los hospitales de todo el Reino Unido funcionan con viejos y anticuados sistemas Windows, tecnología heredada que ya no recibe actualizaciones. Esas instalaciones no son las únicas. En Estados Unidos, por ejemplo, el gobierno federal depende de sistemas heredados, y gasta 60.000 millones de dólares cada año para mantener la tecnología antigua, mientras que gasta solo 20.000 millones de dólares en modernización.
Las organizaciones que ejecutaban el software antiguo de Windows no podían realizar correcciones inmediatas porque no había parches disponibles; sin embargo, en una medida inusual, Microsoft lanzó actualizaciones este viernes para algunas versiones a las que ya no da soporte.
Los consumidores y las empresas que se han actualizado al software más reciente de Windows están protegidos de WannaCry.
Los investigadores dicen que este tipo de ransomware continuará, y aunque este en particular fue detenido inadvertidamente, los hackers podrían modificar el código y volver a intentarlo.
Mark Mager, investigador senior de la firma de seguridad Endgame, dijo que es el ejemplo más frecuente y efectivo de ransomware que se ha extendido a través de redes alrededor del mundo.
“Los desarrolladores de ransomware y los atacantes tienden a pedir prestadas, copiar y robar técnicas y software entre sí”, dijo. “Debido a que este ataque de WannaCry ha sido tan eficaz hasta el momento, es muy probable que este sea el primero de muchos ataques de ransomware que aprovechen las fallas para efectivamente diseminar sus cargas explosivas a través de Internet”.