Menu
in

Microsoft comparte sus bugs “0-day” con el gobierno antes de corregirlos

Al parecer, en Estados Unidos no pueden estar tranquilos si no tienen alguna clase de “gate” cada cinco o diez años, y en esta oportunidad, es el llamado “spygate”. Las noticias que involucran a una pieza de software llamada PRISM, la Agencia de Seguridad Nacional, nueve de las compañías más importantes y el espionaje sobre ciudadanos se han multiplicado a través de la Web.

La última bomba la arrojó la gente de Bloomberg, al reportar que Microsoft, como parte de este y otros acuerdos de colaboración, no entrega información sobre los usuarios, pero sí comparte datos sobre bugs en sus productos, antes de que los parches lleguen al público. Se supone que PRISM se encuentra en funcionamiento desde septiembre del año 2007. Y que Microsoft fue la primera compañía de alto perfil en participar de este… “intercambio” de información.

Por supuesto, el usuario final no sólo mira pasar de costado a este intercambio, sino que la idea de fondo (obviamente) era que nunca se enterara. El artículo que Nicolás escribió sobre PRISM es escalofriante, y si de alguna forma te has mantenido al margen del último gran escándalo de espionaje en los Estados Unidos, debería ser tu primera parada. Desde cierto punto de vista, algunos oficiales de alto rango consideran que Estados Unidos se encuentra en un estado de ciberguerra, y que debe hacer todo a su alcance para defenderse.

Algunas maniobras son más públicas que otras, como el caso de CISPA, que aparentemente va a morir en el Senado, en favor de otra ley. La última fuente de disgusto para los ciberespías oficiales llega a través de Bloomberg, con un artículo en el que habla de “miles de compañías” trabajando con agencias de seguridad nacional, entregando información a cambio de beneficios específicos, como datos de inteligencia clasificados e inmunidad en caso de quedar expuestos a una acción legal. Esto hace volar por los aires a la información original de Edward Snowden, pero también agrega otro detalle: Microsoft provee información a las agencias sobre los bugs en sus programas más importantes, antes de que se publiquen los parches correspondientes.

Hay dos objetivos detrás de esta decisión: Primero, que las agencias puedan proteger a sus sistemas con anticipación, y segundo, que utilicen esos bugs para obtener información de aquellos sistemas en control de personas relacionadas con actividades terroristas. Sin embargo, la pregunta de fondo sigue siendo tan perturbadora como siempre: ¿Quién hace que se detengan ahí?

En una declaración por correo electrónico, Frank Shaw, un portavoz de Microsoft, dijo a Bloomberg que en realidad existen “varios programas” a través de los cuales esta información sobre bugs es compartida con el gobierno. Otra de las empresas mencionadas en el artículo es McAfee, pero CTO Michael Fey indica que la información compartida no es sobre individuos, sino que se limita a inteligencia sobre amenazas, patrones de ciberataques, vulnerabilidades de sistema y actividad en determinados vectores, como grupos de hackers.

En otras palabras, todos parecen estar subidos en el barco, mientras que los usuarios flotan a lo lejos, apenas compartiendo un salvavidas.

Escrito por Lisandro Pardo

Leave a Reply