Según información exclusiva de la agencia Reuters, la Agencia Nacional de Seguridad estadounidense, NSA, habría suscrito -en fecha desconocida- un contrato secreto con RSA Security, mediante el cual instaló una vulnerabilidad en productos de cifrado de RSA. Como parte del acuerdo, NSA habría pagado a RSA 10 millones de dólares. De esa forma, RSA habría instalado en sus productos de seguridad bSafe un método de generación de códigos diseñado por la propia organización de inteligencia.
En septiembre pasado, el periódico The New York Times había adelantado, con base en documentos filtrados por Edward Snowden, que la NSA se había adjudicado la responsabilidad de elaborar el estándar en que se basaba el generador de códigos. El estándar, denominado Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), es utilizado en una serie de productos de seguridad informática y contendría vulnerabilidades que permiten su intervención por parte de la NSA.
El contrato secreto fue filtrado a Reuters por dos fuentes anónimas cercanas al proyecto.
La información no indica la fecha en que el contrato habría sido suscrito. Sin embargo, Reuters habría conversado con una serie de exempleados de la empresa, según quienes ésta habría cambiado su rumbo y misión. Así, de haber sido una empresa dedicada a proteger los datos de sus clientes, incluso frente a agentes gubernamentales, pasó a convertirse en un aliado de las autoridades estadounidenses, en la lucha contra hackers extranjeros. RSA fue comprada por EMC en 2006.
Reuters entrevistó a una docena de exempleados, y empleados activos de RSA, la mayoría de los cuales considera un error que la empresa haya suscrito un acuerdo de tales características con la NSA. A juicio de algunos, la empresa habría sido desinformada por las autoridades, que habrían presentado el estándar Dual_EC_DRBG como un avance tecnológico seguro y protegido, sin revelar las vulnerabilidades posteriormente detectadas en este.
Cabe señalar que no se ha comprobado con un 100% de certeza que las vulnerabilidades constituyen, en sí, una puerta trasera. Sin embargo, se considera una alternativa probable. Después de las filtraciones de septiembre, la propia RSA ha instado a sus clientes a no utilizar Dual_EC_DRBG.
Fuente: Reuters
Ilustración: Maksim Kabakou (c) / Shutterstock.com
