La pasada semana nos hacíamos eco de una filtración que se había realizado gracias a los documentos de Snowden en la que se podía ver un acuerdo comercial entre RSA y NSA por un valor de 10 millones de dólares para la integración de puertas traseras en los productos de esta. Sin embargo, esta ha querido defender su imagen y ha salido al paso de las críticas.
Y es que estas no se hicieron esperar, y desde que se conoció la noticia muchos fueron los expertos en seguridad y empresas clientes que dedicaron fuertes palabras contra la compañía especializada en temas de seguridad. Hay que recordar que la compañía es acusada de introducir un software en sus programas de cifrado que posibilita a terceras personas el acceso con una mayor facilidad, en este caso, la otra parte interesada en el acceso es la NSA estadounidense.
Dual_EC_DRBG fue introducido en el año 2004
Como hemos dicho, la compañía ha salido al paso de las fuertes críticas recibidas y se ha centrado en la justificación de la inclusión de una herramienta que es la que parece ser el origen de los problemas de seguridad detectados. Desde la compañía afirman que esta herramienta ya había sido introducida en el año 2004 y que desde entonces se ha encontrado en sus sistemas sin ningún tipo de excepción año tras año.
Lo que desde RSA no han querido tratar es que esta herramienta es susceptible a cambios y que es en las versiones del año 2007 en adelante es donde se han encontrado los cambios que debilitan la seguridad de los certificados de seguridad creados.
No se tocó el tema de los 10 millones de dólares
Los documentos que han sido filtrados están ahí, al igual que la información que estos contienen. De la misma forma que podían haber salido al paso de la inclusión de una herramienta que afirman que no se ha modificado nunca, también podían haber salido al paso del acuerdo fijado en 10 millones de dólares, algo que no se ha mencionado durante la defensa.
Las empresas se encuentran en una situación complicado, sobre todo las afectadas, ya que con información tan bien recogida como la que se puede ver en estos documentos es muy complicado lavar la imagen creada, y más si se tiene en cuentas que las evidencias son muy claras.
Habrá mas sorpresas en el próximo año de empresas afectadas.
Os recomendamos leer el tutorial cómo solucionar el error de la url solicitada no está disponible.