La NSA no avisa de todas las vulnerabilidades que encuentra

Empleados del gobierno de Estados Unidos han reconocido que la Agencia Nacional de Seguridad (NSA) no da a conocer todas las vulnerabilidades informáticas que detecta.

La polémica en torno a la forma de actuar de la NSA no cesa, y en esta ocasión tiene su origen en los datos oficiales que se han dado a conocer por parte del gobierno de Obama.

En concreto, se ha revelado que cuando la NSA descubre una “vulnerabilidad día cero” en un programa informático, solo la hace pública en un 91 por ciento de los casos, y nunca antes de que la haya explotado.

En ese sentido, exponen que en lugar de avisar primero a las empresas que están detrás del software vulnerable nada más localizar un fallo, optan por explotarlo en su propio beneficio, apuntan en ITProPortal.

Esa práctica mantiene a los usuarios en riesgo durante más tiempo, ya que supone un retraso en el lanzamiento de parches que arreglen el problema.

Por otra parte, en el caso del 9% de vulnerabilidades que no llegan a salir a la luz, el riesgo puede ser todavía mayor, ya que si son descubiertas por hackers estos pueden beneficiarse de ellas a sus anchas.

Desde la NSA argumentan que en determinados casos, el no revelar esas vulnerabilidades resulta crucial para poder recopilar información que permita evitar ataques terroristas, el robo de propiedad intelectual de Estados Unidos, e incluso llegar a descubrir vulnerabilidades más peligrosas que son empleadas para explotar las redes del país.