La Agencia de Seguridad Nacional de EE. UU. Está rechazando los esfuerzos de un importante crítico del Congreso para determinar si continúa colocando las llamadas puertas traseras en productos de tecnología comercial, en una práctica controvertida que, según los críticos, perjudica tanto a la industria estadounidense como a la nacional. seguridad.

La NSA ha buscado durante mucho tiempo acuerdos con empresas de tecnología en virtud de los cuales crearían acceso especial para la agencia de espionaje a sus productos, según las revelaciones del excontratista de la NSA Edward Snowden y los informes de Reuters y otros.

Estas llamadas puertas traseras permiten a la NSA y otras agencias escanear grandes cantidades de tráfico sin una orden judicial. Los defensores de la agencia dicen que la práctica ha facilitado la recopilación de inteligencia vital en otros países, incluida la interceptación de comunicaciones terroristas.

La agencia desarrolló nuevas reglas para tales prácticas después de las filtraciones de Snowden a fin de reducir las posibilidades de exposición y compromiso, dijeron a Reuters tres exfuncionarios de inteligencia. Pero los asesores del senador Ron Wyden, uno de los principales demócratas del Comité de Inteligencia del Senado, dicen que la NSA ha impedido proporcionar incluso la esencia de las nuevas directrices.

«Las puertas traseras de cifrado secreto son una amenaza para la seguridad nacional y la seguridad de nuestras familias; es solo cuestión de tiempo antes de que los piratas informáticos o criminales extranjeros las exploten de manera que socaven la seguridad nacional estadounidense», dijo Wyden a Reuters. «El gobierno no debería tener ningún papel en la instalación de puertas traseras secretas en la tecnología de cifrado utilizada por los estadounidenses».

La agencia se negó a decir cómo había actualizado sus políticas para obtener acceso especial a productos comerciales. Los funcionarios de la NSA dijeron que la agencia ha estado reconstruyendo la confianza con el sector privado a través de medidas tales como ofrecer advertencias sobre fallas en el software.

“En la NSA, es una práctica común evaluar constantemente los procesos para identificar y determinar las mejores prácticas”, dijo Anne Neuberger, quien dirige la Dirección de Ciberseguridad de la NSA, que lleva un año. «No compartimos procesos y procedimientos específicos».

Tres ex altos funcionarios de la agencia de inteligencia dijeron a Reuters que la NSA ahora requiere que antes de buscar una puerta trasera, la agencia debe sopesar las posibles consecuencias y organizar algún tipo de advertencia si la puerta trasera es descubierta y manipulada por adversarios.

La búsqueda continua de acceso oculto se produce cuando los gobiernos de los Estados Unidos, el Reino Unido y otros lugares buscan leyes que requieran que las empresas de tecnología permitan a los gobiernos ver el tráfico no cifrado. Los defensores del cifrado fuerte dicen que los esfuerzos a veces fallidos de la NSA para instalar puertas traseras en productos comerciales muestran los peligros de tales requisitos.

Los críticos de las prácticas de la NSA dicen que crean objetivos para los adversarios, socavan la confianza en la tecnología estadounidense y comprometen los esfuerzos para persuadir a los aliados de que rechacen la tecnología china que podría usarse para el espionaje, ya que el equipo estadounidense también puede utilizarse para tales fines.

En al menos un caso, un adversario extranjero pudo aprovechar una puerta trasera inventada por la inteligencia de Estados Unidos, según Juniper Networks Inc, que dijo en 2015 que su equipo se había visto comprometido. En una declaración no reportada previamente a miembros del Congreso en julio vista por Reuters, Juniper dijo que un gobierno nacional no identificado había convertido el mecanismo creado por primera vez por la NSA. La NSA le dijo al personal de Wyden en 2018 que había un informe de «lecciones aprendidas» sobre el incidente de Juniper y otros, según el portavoz de Wyden, Keith Chu.

«La NSA ahora afirma que no puede localizar este documento», dijo Chu a Reuters.

La NSA y Juniper se negaron a comentar sobre el asunto.

El compromiso de enebro

La NSA ha buscado muchos medios para ingresar al equipo, a veces cerrando acuerdos comerciales para inducir a las empresas a insertar puertas traseras y, en otros casos, manipulando los estándares, es decir, estableciendo procesos para que las empresas adopten, sin saberlo, software que los expertos de la NSA puedan romper, según informes de Reuters y otros medios de comunicación.

Las tácticas atrajeron una atención generalizada a partir de 2013, cuando Snowden filtró documentos que hacen referencia a estas prácticas.

Las empresas de tecnología que luego fueron expuestas por haber cerrado acuerdos que permitían el acceso por la puerta trasera, incluida la pionera en seguridad RSA, perdieron credibilidad y clientes. Otras empresas estadounidenses perdieron negocios en el extranjero a medida que los clientes se mostraban cautelosos con el alcance de la NSA.

Todo eso provocó una revisión de la política de la Casa Blanca.

“Hubo todo tipo de procesos de ‘lecciones aprendidas’”, dijo el ex coordinador de ciberseguridad de la Casa Blanca, Michael Daniel, quien estaba asesorando al entonces presidente Barack Obama cuando los archivos de Snowden estallaron. Una comisión especial designada por Obama dijo que el gobierno nunca debería «subvertir» o «debilitar» los productos tecnológicos o comprometer los estándares.

La Casa Blanca no aceptó públicamente esa recomendación, sino que reforzó los procedimientos de revisión para saber si usar fallas de software recientemente descubiertas para operaciones cibernéticas ofensivas o corregirlas para mejorar la defensa, dijeron Daniel y otros.

Los contratos secretos del gobierno para el acceso especial quedaron fuera de la revisión formal.

«La NSA tenía contratos con empresas en todos los ámbitos para ayudarlos, pero eso está extremadamente protegido», dijo un abogado de la comunidad de inteligencia.

El ejemplo más claro de los riesgos inherentes al enfoque de la NSA involucró un componente del sistema de cifrado conocido como Dual Elliptic Curve o Dual EC. La agencia de inteligencia trabajó con el Departamento de Comercio para lograr que la tecnología fuera aceptada como estándar global, pero los criptógrafos demostraron más tarde que la NSA podía explotar Dual EC para acceder a datos cifrados.

RSA aceptó un contrato de $ 10 millones para incorporar Dual EC en un sistema de seguridad web ampliamente utilizado, informó Reuters aquí en 2013. RSA dijo públicamente que no habría instalado una puerta trasera a sabiendas, pero su reputación se empañó y la compañía fue vendida.

Juniper Networks se metió en problemas con Dual EC dos años después. A fines de 2015, el fabricante de conmutadores de Internet reveló que había detectado código malicioso en algunos productos de firewall. Más tarde, los investigadores determinaron que los piratas informáticos habían convertido los firewalls en su propia herramienta de espionaje aquí alterando la versión de Juniper de Dual EC.

Juniper dijo poco sobre el incidente. Pero la compañía reconoció al investigador de seguridad Andy Isaacson en 2016 que había instalado Dual EC como parte de un «requisito del cliente», según un mensaje contemporáneo no revelado visto por Reuters. Isaacson y otros investigadores creen que el cliente era una agencia del gobierno de EE. UU., Ya que se sabe que solo EE. UU. Ha insistido en Dual EC en otros lugares.

Juniper nunca ha identificado al cliente y se negó a comentar para esta historia.

Asimismo, la empresa nunca identificó a los piratas informáticos. Pero dos personas familiarizadas con el caso dijeron a Reuters que los investigadores concluyeron que el gobierno chino estaba detrás. Se negaron a detallar las pruebas que utilizaron.

El gobierno chino ha negado durante mucho tiempo su participación en piratería informática de cualquier tipo. En una declaración a Reuters, el Ministerio de Relaciones Exteriores de China dijo que el ciberespacio es “altamente virtual y difícil de rastrear. Es sumamente irresponsable hacer acusaciones de ataques de piratas informáticos sin pruebas completas y concluyentes. Al mismo tiempo, también notamos que el informe mencionaba que fue la agencia de inteligencia de los Estados Unidos, la Agencia de Seguridad Nacional, la que creó esta tecnología de puerta trasera «.

EMPRESAS NERVIOSAS

Wyden sigue decidido a averiguar exactamente qué sucedió en Juniper y qué ha cambiado desde entonces a medida que se intensifican las guerras de cifrado.

Este julio, en respuestas no informadas a preguntas de Wyden y sus aliados en el Congreso aquí , Juniper dijo que se creía que una nación no identificada estaba detrás del pirateo de su código de firewall, pero que nunca había investigado por qué instaló Dual EC en primer lugar.

«Entendemos que existe un vigoroso debate de políticas sobre si proporcionar al gobierno acceso al contenido cifrado y cómo hacerlo», dijo en una carta de julio. «Juniper no inserta ni insertará puertas traseras en sus productos y nos oponemos a cualquier legislación que obligue a puertas traseras».

Un ex alto funcionario de la NSA dijo a Reuters que muchas empresas tecnológicas siguen nerviosas por trabajar de forma encubierta con el gobierno. Pero los esfuerzos de las agencias continúan, dijo la persona, porque el acceso especial se considera demasiado valioso para renunciar./Reuters-

Leave a Comment