Hace unos días se destapaba uno de los
casos de espionaje gubernamental más grandes desde Snowden después de que
WikiLeaks publicase más de 8.000 documentos internos del programa de hacking
con el que la CIA ha estado espiando cualquier tipo de dispositivo conectado.
Un espionaje que se ha cebado especialmente con los sistemas operativos de
Google, Apple, Microsoft y Samsung.
Wikileaks prometió enseguida que
compartiría la información de las vulnerabilidades zero-day aprovechadas por la
CIA con las empresas afectadas, pero a día de hoy se está negando a hacerlo
porque las tecnológicas no cumplen lo que les pide a cambio. Mientras, la CIA
tampoco parece dispuesta, algo que a la larga nos está poniendo a todos en
riesgo.
Sí, es verdad, algunas de estas
empresas ya habían dicho que habían solucionado muchas de las vulnerabilidades,
¿entonces por qué seguimos así? Pues básicamente porque las zero-days son esas
que son explotadas sin informar de la vulnerabilidad a la empresa, por lo que
puede que ni siquiera sean conscientes de varias de ellas.
¿Por qué Wikileaks no cumple lo prometido?
Update on CIA #Vault7 "zero day"
software vulnerabilities
Ref: https://t.co/h5wzfrReyy
pic.twitter.com/WEiyptlRu3
— WikiLeaks (@wikileaks) 18 de marzo de 2017
Este es un asunto que lleva un par de
días ocupando titulares, la mayoría de los cuales apunta a que los de Assange
le han pedido una serie de exigencias a las tecnológicas, y que no les darán
los datos sobre qué vulnerabilidades está explotando la CIA hasta que las
cumplan. ¿Pero qué fin están tratando de conseguir con este chantaje?
A Motherboard fuentes internas le
confirmaron que las demandas pasan por el implantar un plazo de divulgación de
90 días. Esto obligaría a las empresas a comprometerse a parchear las
vulnerabilidades de las que se les informa en ese periodo de tiempo, y si no lo
hacen se verían expuestas a que se hiciéran públicas las demandas.
Según informó ayer Wikileaks en un
tuit, organizaciones como Mozilla ya han intercambiado correos con ellos y
recibido información sobre sus vulnerabilidades. Mientras, dicen, otras
empresas como Google ni siquiera han respondido para decir que recibieron el
correo ni aceptado o descartado su plan para estandarizar los periodos de actuación.
Wikileaks acusa a las empresas que no
han reaccionado todavía de tener conflicto de intereses debido a sus estrechas
colaboraciones con las autoridades gubernamentales, y prometen nueva
información en los próximos días. Sea por la razón que sea, parece algo raro
teniendo en cuenta que Google es la primera en aplicar esa filosofía con las
vulnerabilidades que descubre.
¿Y qué pasa con la CIA?
- Podríamos pensar que una vez ha sido desvelada toda
su operación sólo sea cuestión de tiempo que las vulnerabilidades sean
desveladas a las empresas. Entonces, la gran pregunta aquí es la de por
qué la CIA no ha tomado ella misma la iniciativa si de paso así pueden
evitar que Wikileaks "se salga con la suya" a la hora de imponer
exigencias.
- Esto es peligroso, porque como os hemos contado,
otras herramientas como las de la NSA ya han sido puestas a la venta en la
Dark Web. Esto quiere decir que cualquier criminal puede pujar por ellas y
empezar a utilizarlas para sus propios fines. Lo mismo podría pasar con
las herramientas de la CIA en el momento en el que alguien acceda a la
información que aún parece retener Wikileaks.
- Por lo tanto, la actitud de la CIA es bastante
ilógica viendo que en el mejor de los casos en pocos días sus exploits
dejarán de tener sentido. Cabe la posibilidad de que quieran estirar sus
operaciones con estos exploits el máximo tiempo posible, o que simplemente
estén midiendo aún hasta qué punto les compromete la información de
Wikileaks.
- Al final, lo único que está seguro es que como estas
herramientas acaben cayendo también en malas manos antes de que las
vulnerabilidades que explotan sean resueltas, estaremos ante una muy mala
noticia para todos. Habrá que ver qué pasa en las próximas semanas y
cuales son los movimientos que hacen unos y otros.