Una vulnerabilidad Zero-Day, o de día cero, recibe este nombre justo en el momento que se descubre el fallo de seguridad, dando así comienzo a una carrera entre los desarrolladores de la aplicación afectada y los piratas informáticos por ser los primeros en solucionarlo mediante un parche o por crear una herramienta capaz de explotarlo antes que este fallo sea solucionado, pudiendo comprometer la seguridad de un gran número de usuarios en cuestión de horas.
Por lo general los desarrolladores suelen trabajar muy bien cuando una vulnerabilidad de día cero se hace pública y es muy extraño ver que se cree y publique el exploit antes que el parche de seguridad. Muchas grandes desarrolladores incluso ofrecen un programa de recompensas, Bug Bounty, con el que premian a los investigadores que reporten en privado la vulnerabilidad antes de hacerla pública para que esta pueda ser solucionada antes de darse a conocer.
La NSA, como agencia de seguridad, tiene a su disposición un gran número de recursos con los que es capaz de controlar la seguridad de prácticamente todo el software que utilizan los usuarios y descubrir fallos de seguridad con los que se pueda tomar el control de cualquier posible objetivo. Durante mucho tiempo ha organización de seguridad ha estado trabajando de esta manera, aunque tras la filtración de los documentos de Edward Snowden y ver cómo el nombre del gobierno de los Estados Unidos se ha visto manchado por el escándalo del espionaje, la organización se ha visto obligada a limpiar de la mejor forma posible el nombre de la NSA y el gobierno sin perder con ello el control sobre la vida de los usuarios que se conectan a Internet.
Según uno de los portavoces del gobierno de los Estados Unidos, la NSA ha cambiado recientemente su modo de gestionar las vulnerabilidades que descubre, y ahora, para parecer que «actúa de buena fe«, la organización gubernamental asegura que reporta el 91% de las vulnerabilidades Zero-Day que descubre a sus correspondientes desarrolladores. Visto de otra manera, la organización se apropia del 9% de los fallos de seguridad Zero-Day que descubre para su propio uso y beneficio.
El número de exploits y el tiempo que la NSA los lleva utilizando es un misterio
Por el momento no se conoce el número de vulnerabilidades que forman ese 9% ni se sabe durante cuánto tiempo la NSA lleva utilizando las vulnerabilidades con fines ofensivos para controlar a sus objetivos y para tomar el control de su privacidad. Para evitar que ni la NSA ni ningún grupo de piratas informáticos pueden comprometer nuestra privacidad debemos utilizar siempre software libre y seguro, así como instalar siempre las versiones más recientes de las aplicaciones para evitar que nadie pueda explotar un fallo ya conocido, aunque, como hemos explicado, seguiremos estando en riesgo ya que puede que nuestro software tenga un fallo dentro del 9% que se reserva la organización para su uso privado.
¿Crees que la publicación del 91% de las vulnerabilidades descubiertas por la NSA es suficiente?
Quizá te interese:
- Tor Messenger, el nuevo cliente de mensajería anónimo
- Rechazan la demanda de espionaje de Wikimedia contra la NSA