Cisco compensará al gobierno de E.U. por la venta de productos vulnerables; ¿hará lo mismo con todos sus clientes?

Actualmente ya no es raro saber de casos en los que las compañías de tecnología omiten intencionalmente los inconvenientes de seguridad presentes en sus productos o servicios. En esta ocasión, la compañía implicada es Cisco, que llegó a un acuerdo para pagar 8.6 millones de dólares después de admitir que vendió un software de vigilancia vulnerable a múltiples variantes de ciberataque, reportan expertos en auditorías de sistemas.

Según se ha mencionado, la compañía era plenamente consciente de las fallas de seguridad del software en cuestión, aún así, siguió vendiéndolo a hospitales y otras organizaciones sin siquiera lanzar parches de actualización en más de 4 años. El acuerdo fue anunciado por el Departamento de Justicia de E.U. (DOJ).

Después de una exhaustiva investigación, los expertos en auditorías de sistemas concluyeron que las fallas en el software podían ser explotadas por hackers para acceder a los sistemas de vigilancia, encender o apagar las cámaras a su voluntad, eliminar registros e incluso comprometer otros dispositivos conectados al sistema de monitoreo, como alarmas o cerraduras eléctricas. Por si no fuera suficiente, las vulnerabilidades eran fáciles de explotar para cualquier hacker.

Un portavoz de la compañía se dijo satisfecho por haber llegado a un arreglo con las autoridades de E.U. “Nos complace resolver este incidente; quisiera agregar que no existen pruebas o quejas sobre un posible acceso no autorizado a los sistemas de vigilancia de nuestros clientes como resultado de esta falla de software”, mencionó el portavoz de Cisco. No obstante, James Glenn, informante en el caso, señala que es posible que los hackers hayan comprometido los sistemas de vigilancia sin ser detectados.

Este caso puede sentar un importante antecedente, pues es la primera ocasión en la que una compañía de tecnología es obligada a pagar una compensación por no contar con las medidas de ciberseguridad adecuadas en sus productos, reportan expertos en auditorías de sistemas.

Además, el gobierno de E.U. se encuentra realizando un extenso escrutinio sobre sus multimillonarios contratos con compañías de tecnología pues, según han mencionado algunos funcionarios, la ciberseguridad un factor a considerar cuando estos acuerdos fueron firmados. A muchos expertos en el tema les preocupa que el gobierno autorice la compra de productos y servicios tecnológicos muy fáciles de hackear, lo que compromete información sensible en más formas de las que podríamos pensar.

“Este es el caso de este producto de Cisco en específico. Agencias como el Servicio Secreto, la Agencia Federal de Manejo de Emergencias y algunas instalaciones militares usaban el software comprometido, incluso la policía de Nueva York y algunas prisiones contaban con este sistema”, mencionan especialistas en auditorías de sistemas.

La información revelada por Glenn, que solía trabajar para una compañía danesa asociada a Cisco, ayudó a presentar una demanda en un Tribunal de Distrito de Nueva York bajo la Ley de Reclamaciones Falsas, que permite a las personas presentar demandas en nombre del gobierno en casos en los que una compañía pudiera incurrir en fraude. Ya que la ley lo permite, el gobierno federal y algunos gobiernos estatales se unieron a la demanda contra Cisco; el 80% de la compensación será para los gobiernos, mientras que el 20% restante será para Glenn y sus asesores legales.

Reportes del Instituto Internacional de Seguridad Cibernética (IICS) afirman que Glenn informó de las fallas de seguridad repetidamente mientras trabajaba con NetDesign, subcontratista de Cisco. No obstante, el informante nunca obtuvo una respuesta satisfactoria de la compañía; finalmente, fue despedido de la compañía en 2009.

(Visitado 1115 veces)