CNNEarrow-downclosecomment-02commentglobeplaylistsearchsocial-facebooksocial-googleplussocial-instagramsocial-linkedinsocial-mailsocial-moresocial-twittersocial-whatsapp-01social-whatsapptimestamptype-audiotype-gallery
Computación e informática

La Agencia de Seguridad Nacional de EE.UU. alertó a Microsoft sobre una falla importante de seguridad en Windows 10

Por Brian Fung

Washington (CNN Business) — La Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) alertó recientemente a Microsoft sobre una falla importante en su sistema operativo Windows, que podría permitir a los hackers hacerse pasar por compañías de software legítimas, dijeron el martes funcionarios de la Agencia.

Microsoft sacó una actualización de software el martes para corregir la vulnerabilidad, como parte de su programa normal para el lanzamiento de correcciones de software.

Las noticias sobre la vulnerabilidad y la corrección fueron reportadas por primera vez por el periodista independiente Brian Krebs, quien dijo que Microsoft proporcionó su solución de software a las compañías militares y de infraestructura clave antes del lanzamiento público del martes.

Microsoft dijo en un comunicado, el lunes por la noche, que proporciona versiones avanzadas de sus actualizaciones a algunos usuarios bajo un programa de prueba especial. Jeff Jones, director sénior de Microsoft, se negó a discutir detalles específicos de la falla “para evitar riesgos innecesarios para los clientes”.

La compañía no respondió de inmediato a una solicitud de comentarios el martes.

LEE: Microsoft envía advertencia: debes actualizar Windows para solucionar problemas críticos de seguridad (2019)

El raro anuncio de la NSA sobre la falla , junto con su decisión de advertir a Microsoft en lugar de explotar el error con fines de inteligencia, subraya la magnitud de la amenaza que podría representar para empresas, consumidores y agencias gubernamentales en todo el mundo.

La NSA dijo que, si bien ha compartido información de vulnerabilidad con el sector privado en el pasado, esta es la primera vez que se presenta públicamente para hacerlo. La Agencia dijo que la decisión refleja un esfuerzo por generar confianza con los investigadores de ciberseguridad.

“Parte de generar confianza es mostrar los datos”, dijo a los periodistas Anne Neuberger, directora de Ciberseguridad de la NSA, en una conferencia telefónica el martes. Debido a que la NSA nunca ha permitido vincularse a una divulgación de vulnerabilidad, dijo, “es difícil para las entidades confiar en que nos tomamos esto en serio. Y garantizar que las vulnerabilidades puedan mitigarse es una prioridad absoluta”.

La NSA no utilizó la vulnerabilidad para explotar a los rivales, y la falla fue alertada a Microsoft tan pronto como se descubrió, agregó Neuberger. Ella dijo que la NSA no ha detectado ninguna otra entidad que use la avería.

El Departamento de Seguridad Nacional dijo en la llamada que emitiría un boletín a las agencias federales aconsejándoles que instalen las correcciones de Microsoft inmediatamente.

LEE: Demandan a Apple, Google, Microsoft, Dell y Tesla por presunto trabajo infantil en la República Democrática del Congo

La falla se refiere a una función central de Windows que verifica la legitimidad de las aplicaciones y programas, una característica conocida como CryptoAPI.

“Es el equivalente a un escritorio de seguridad del edificio que verifica las identificaciones antes de permitir que un contratista venga e instale nuevos equipos”, dijo Ashkan Soltani, un experto en seguridad y ex tecnólogo jefe de la Comisión Federal de Comercio.

Al comprometer esa función de validación, los piratas informáticos podrían hacerse pasar por compañías de software “buenas” para instalar software malicioso, dijo Soltani, lo que les permitiría espiar a los usuarios de computadoras o retener sus dispositivos como rehenes.