Wikileaks se niega a decirle a las grandes tecnológicas qué vulnerabilidades está explotando la CIA

Share this…

Hace unos días se destapaba uno de los casos de espionaje gubernamental más grandes desde Snowden después de que WikiLeaks publicase más de 8.000 documentos internos del programa de hacking con el que la CIA ha estado espiando cualquier tipo de dispositivo conectado. Un espionaje que se ha cebado especialmente con los sistemas operativos de Google, Apple, Microsoft y Samsung.

Wikileaks prometió enseguida que compartiría la información de las vulnerabilidades zero-day aprovechadas por la CIA con las empresas afectadas, pero a día de hoy se está negando a hacerlo porque las tecnológicas no cumplen lo que les pide a cambio. Mientras, la CIA tampoco parece dispuesta, algo que a la larga nos está poniendo a todos en riesgo.

Sí, es verdad, algunas de estas empresas ya habían dicho que habían solucionado muchas de las vulnerabilidades, ¿entonces por qué seguimos así? Pues básicamente porque las zero-days son esas que son explotadas sin informar de la vulnerabilidad a la empresa, por lo que puede que ni siquiera sean conscientes de varias de ellas.

¿Por qué Wikileaks no cumple lo prometido?

Ver imagen en Twitter

Ver imagen en Twitter

Este es un asunto que lleva un par de días ocupando titulares, la mayoría de los cuales apunta a que los de Assange le han pedido una serie de exigencias a las tecnológicas, y que no les darán los datos sobre qué vulnerabilidades está explotando la CIA hasta que las cumplan. ¿Pero qué fin están tratando de conseguir con este chantaje?

A Motherboard fuentes internas le confirmaron que las demandas pasan por el implantar un plazo de divulgación de 90 días. Esto obligaría a las empresas a comprometerse a parchear las vulnerabilidades de las que se les informa en ese periodo de tiempo, y si no lo hacen se verían expuestas a que se hiciéran públicas las demandas.

Según informó ayer Wikileaks en un tuit, organizaciones como Mozilla ya han intercambiado correos con ellos y recibido información sobre sus vulnerabilidades. Mientras, dicen, otras empresas como Google ni siquiera han respondido para decir que recibieron el correo ni aceptado o descartado su plan para estandarizar los periodos de actuación.

Wikileaks acusa a las empresas que no han reaccionado todavía de tener conflicto de intereses debido a sus estrechas colaboraciones con las autoridades gubernamentales, y prometen nueva información en los próximos días. Sea por la razón que sea, parece algo raro teniendo en cuenta que Google es la primera en aplicar esa filosofía con las vulnerabilidades que descubre.

¿Y qué pasa con la CIA?

Podríamos pensar que una vez ha sido desvelada toda su operación sólo sea cuestión de tiempo que las vulnerabilidades sean desveladas a las empresas. Entonces, la gran pregunta aquí es la de por qué la CIA no ha tomado ella misma la iniciativa si de paso así pueden evitar que Wikileaks “se salga con la suya” a la hora de imponer exigencias.

Esto es peligroso, porque como os hemos contado, otras herramientas como las de la NSA ya han sido puestas a la venta en la Dark Web. Esto quiere decir que cualquier criminal puede pujar por ellas y empezar a utilizarlas para sus propios fines. Lo mismo podría pasar con las herramientas de la CIA en el momento en el que alguien acceda a la información que aún parece retener Wikileaks.

Por lo tanto, la actitud de la CIA es bastante ilógica viendo que en el mejor de los casos en pocos días sus exploits dejarán de tener sentido. Cabe la posibilidad de que quieran estirar sus operaciones con estos exploits el máximo tiempo posible, o que simplemente estén midiendo aún hasta qué punto les compromete la información de Wikileaks.

Al final, lo único que está seguro es que como estas herramientas acaben cayendo también en malas manos antes de que las vulnerabilidades que explotan sean resueltas, estaremos ante una muy mala noticia para todos. Habrá que ver qué pasa en las próximas semanas y cuales son los movimientos que hacen unos y otros.

Fuente:https://www.genbeta.com