EFF demanda a la NSA por aprovechar secretamente Heartbleed en lugar de advertir a la opinión pública

La organización Electronic Frontier Foundation (EFF) asegura que la NSA sabía sobre Heartbleed y otros graves problemas de seguridad, pero que optó por el silencio.

EFF ha presentado una denuncia en contra de la NSA, alegando que la agencia de espionaje supo durante años del error de OpenSSL, Heartbleed. La organización de defensa de la libertad digital y la privacidad afirmó que la NSA decide dónde y cuándo informa a la comunidad sobre amenazas de día cero. Su intención con la demanda es que la agencia de espionaje sea más transparente con la información, cuando esta afecte la seguridad de todos.

En abril trascendió que la NSA había explotado en secreto el error Heartbleed en OpenSSL durante al menos dos años antes de que el público supiera de su existencia. El gobierno de EE.UU. restó importancia a la información asegurando que, por el contrario, había desarrollado un “proceso de acciones de vulnerabilidad” para decidir cuándo compartir sus conocimiento sobre amenazas de seguridad con las empresas y el público.

En su momento, la Casa Blanca explicó en un blog que este proceso tenía por finalidad dar a conocer las amenazas, para lo que “había establecido un proceso de toma de decisiones disciplinada, rigurosa y de alto nivel para la divulgación de la vulnerabilidad”. Sin embargo, en el mismo artículo precisó que en el proceso no había “reglas absolutas”.

La EFF dijo que había presentado una solicitud amparada por la normativa de Libertad de Información para obtener los registros de vulnerabilidades de día cero de la NSA y de la Oficina del Director de Inteligencia Nacional de EE.UU. Aunque la solicitud fue presentada el 6 de mayo, aún no ha recibido documento alguno. Los activistas de la privacidad también piden más detalles sobre la forma en que las agencias deciden si revelan o no información de interés público.

“Esta demanda busca transparencia sobre uno de los elementos menos entendidos del conjunto de herramientas de la comunidad de inteligencia estadounidense: las vulnerabilidades de seguridad,” dijo el consejero legal de EFF, Andrew Crocker. “Estos documentos son importantes para el tipo de debate informado que el público y la administración necesitan”.

La Analista de Políticas Globales de EFF, Eva Galperin, dijo que mientras las agencias de espionaje optaron por no compartir lo que sabían sobre exploits de día cero, la comunidad en general quedó indefensa contra los hackers, delincuentes cibernéticos, y gobiernos extranjeros hostiles.

“Dado que estas vulnerabilidades potencialmente afectan a la seguridad de los usuarios de todo el mundo, el público tiene un gran interés en saber cómo estas agencias están sopesando los riesgos y beneficios de aprovechar unilateralmente estas vulnerabilidades, en lugar de darlas a conocer a los proveedores de seguridad informática”, concluyó.

Ilustración: wwwebmeister © Shutterstock.com


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022