Google sabía de Heartbleed y no dijo nada

Google sabía de Heartbleed y no dijo nada

Jorge Calderón

Google conocía la existencia de la vulnerabilidad de OpenSSL tiempo antes de que saliera a la luz, pero no informó al Gobierno de los EEUU, lo que podría haber sido peligroso para los sistemas federales ante un posible ataque de hackers. Las empresas tecnológicas no confían en el Gobierno por culpa de la NSA.

En National Journal leemos que un ingeniero de Google, Neel Mehta, descubrió por primera vez la vulnerabilidad de OpenSSL, llamada Heartbleed, en algún momento de marzo. Los de Mountain View fueron capaces de parchear la mayoría de sus servicios como la búsqueda, Gmail o YouTube, antes de que se publicara el fallo el 7 de abril. Según señalan en la publicación, un equipo de una empresa de seguridad finlandesa, Codenomicon, también descubrió la vulnerabilidad en el mismo periodo y los investigadores de Google notificaron el fallo a otras compañías antes de hacerlo público. Una de esas compañías es CloudFlare, que consiguió parchear el fallo el 31 de marzo.

nsa-logo

El Gobierno no tenía conocimiento de la vulnerabilidad

A pesar de esto, la Casa Blanca dijo el pasado viernes que el Gobierno no supo nada de este problema hasta abril. La administración estadounidense hizo estas declaraciones para negar un informe que decía que la NSA había estado utilizando Heartbleed durante años. Además añadieron que “si el gobierno federal hubiera descubierto esta vulnerabilidad, habría sido revelada a los responsables de OpenSSL”. Según la publicación, el haber ocultado el error al Gobierno estadounidense ha supuesto un riesgo para los sistemas federales, al haber estado expuestos a los hackers.

Las empresas no confían en el Gobierno

Las empresas que descubren este tipo de fallos suelen esperar a hacerlos públicos para poder tener tiempo para arreglar sus propios servicios, sin embargo, National Journal indica que mantener en secreto Heartbleed puede haber dejado los sistemas federales vulnerables a ojos de los hackers. Varias agencias usan OpenSSL y podrían haber estado filtrando información privada a piratas informáticos. El Gobierno de los EE.UU anima a las empresas a informar de los problemas de seguridad cibernética, pero Christopher Soghoian, director técnico de la American Civil Liberties Union, señala que el Gobierno es el culpable de que las empresas de tecnología no confíen en él para manejar información de seguridad. Según él, esto se debe a que las agencias gubernamentales suelen compartir información entre ellas y no hay manera de que una empresa sepa si la NSA tiene información de ellos y la utilice para intervenir las comunicaciones privadas.