WannaCry, aún sin culpables pero con algunos responsables

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Los gobiernos proporcionan un mandato a nuestras agencias de inteligencia para encontrar y explotar fallas de seguridad, como la de WannaCry.

No hay ningún argumento razonable de que estos defectos deberían hacerse públicos, ya que esto sería contrario al propósito de financiar su descubrimiento.

La Comunidad de Inteligencia está naturalmente motivada a mantener estos defectos en secreto tanto tiempo como sea posible (aunque fallaron en este sentido).

Tampoco es razonable criticar a Microsoft por no apoyar versiones anteriores de Windows por más tiempo.

Hacerlo no habría alterado este resultado, y WannaCry se extendería tan rápido como lo hizo hace un par de semanas.

El hecho es, apoyado o no, Microsoft emitió un parche relativamente rápido. Microsoft correctamente determinó que en esta circunstancia que necesitan para ayudar a resolver este problema.

En realidad sólo hay dos culpables aquí:

NSA por no proteger su código.

Estas herramientas nunca deben haber sido robadas y hechas públicas.

Las empresas que operan negligentemente en viejas versiones de software no compatibles y se niegan a implementar parches cuando están disponibles.

Esto es especialmente cierto de las organizaciones de salud, que no solo juegan con información, hay vidas humanas en el medio.

Si la NSA realmente quería ser responsable, se habrían puesto en contacto con los proveedores de tecnología poco después de que se dieron cuenta de que sus kits de herramientas fueron robados.

Hacerlo habría dado a las empresas de tecnología más tiempo para responder y los consumidores más tiempo para parche.

En cambio, la NSA decidió jugar al huevo podrido con el grupo cibercriminal Shadow Brokers y permitió que este grupo malicioso pudiese montar su propio teatro de operaciones, fuera del conocimiento público de lo que realmente estaba sucediendo.

Tuvo que llegar Julian Assange con su relevación rutilante para que todo tuviésemos la oportunidad de sospechar con fuerza de que algo grande podría ocurrir.

Quizás en el futuro, las agencias de seguridad y de inteligencia cuenten con un plan de contingencia más inteligente, para reaccionar ante una situación como la ocurrida.

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS