La empresa pionera de seguridad RSA adoptó no sólo una sino dos
herramientas de encriptación desarrolladas por la Agencia Nacional de
Seguridad, aumentando la capacidad de espionaje de la agencia estadounidense
para rastrear algunas comunicaciones de Internet, según un equipo de
investigadores académicos.
Reuters informó en diciembre que la NSA había pagado a RSA unos 10
millones de dólares para convertir un sistema de criptografía ahora
desacreditado en el estándar utilizado por un amplio abanico de programas de
seguridad.
El sistema, denominado "Curva Elíptica Dual", era el creador
de un número aleatorio, pero tenía una vulnerabilidad deliberada, ó
"puerta trasera", que permitía a la NSA descifrar el encriptado.
Un grupo de profesores de la Universidad Johns Hopkins, la Universidad
de Wisconsin, la Universidad de Illinois y otras ahora dicen haber descubierto
que un segunda herramienta de la NSA exacerbaba la vulnerabilidad del sistema operativo
de la RSA.
Los profesores determinaron que la herramienta, conocida como
"Extensión Aleatoria" para páginas web seguras, podría ayudar a
desencriptar una versión del software de la denominada "Curva Elíptica
Dual" decenas de miles de veces más rápido, según una copia adelantada del
estudio compartido con Reuters.
Mientras que la "Extensión Aleatoria" no resultó ampliamente
implementada, la nueva investigación arroja luz sobre cómo la NSA amplió el
alcance de su investigación bajo el pretexto de asesorar sobre protección a las
compañías.
RSA, ahora en manos de EMC Corp, no discutió el contenido de la
investigación cuando fue contactado por Reuters para realizar comentarios.
La empresa dijo que no había debilitado intencionadamente la seguridad
de ningún producto y señaló que el sistema de "Extensión Aleatoria"
no tuvo una acogida masiva y fue quitado del software de protección de la RSA
en los últimos seis meses.
"Podíamos haber sido más escépticos sobre las intenciones de la
NSA", dijo el jefe de tecnología de RSA, Sam Curry, a Reuters.
"Confiamos en ellos porque se encargan de la seguridad del
gobierno estadounidense y de las infraestructuras estadounidenses
críticas", dijo.
Curry rechazó decir si el Gobierno había pagado a RSA para incorporar
el sistema de "Extensión Aleatoria" en su kit de seguridad BSafe, que
también alberga la "Curva Elíptica Dual".
Una portavoz de la NSA no quiso hacer comentarios sobre el estudio o
sobre las razones en desarrollar "Extensión Aleatoria".
La agencia ha trabajado durante décadas con compañías privadas para
mejorar la ciberseguridad.
Después de los ataques del 11 de septiembre del 2001, la NSA incrementó
su vigilancia, incluso dentro de Estados Unidos, donde previamente se había
enfrentado a unas férreas restricciones.
Los documentos filtrados por el ex analista de la NSA Edward Snowden
mostraron que la agencia también tuvo como objetivo deshacer los estándares de
criptografía.
Fuente: Reuters