EMPRESA DE SEGURIDAD INFORMÁTICA VENDERÁ INFORMACIÓN SOBRE VULNERABILIDADES A GOBIERNOS

Para expresarlo en términos entendibles para la mayoría de los lectores, las vulnerabilidades de día cero son las características de un programa o sistema, que permite que ese programa o sistema sean atacados hasta que se encuentre un parche informático para resolver la debilidad. Para ello se pueden diseñar programas malignos (malware) que aprovechan esas debilidades con diferentes fines, por ejemplo, para conseguir información confidencial.

Como ya lo dijimos cuando describimos al Stuxnet, existe un tipo de programas llamados SCADA. Los mismos permiten controlar procesos industriales. Los sistemas SCADA a menudo utilizan PLCs (controladores lógicos programables) - computadoras especiales que sirven para controlar un componente físico, por ejemplo una centrífuga. Otras veces los SCADA utilizan computadoras comunes.

Los desarrolladores de programas SCADA rara vez consideran la seguridad como una prioridad. De hecho hasta el descubrimiento de Stuxnet - virus que atacó a las computadoras que controlaban a las centrífugas del programa nuclear iraní - esto sistema eran considerados invulnerables, aun cuando no había ninguna razón de peso para suponer algo así.

Parece que para algunas empresas la seguridad sigue sin ser una prioridad a la hora de desarrollar o incorporar programas SCADA a los productos que venden. Las vulnerabilidades siguen pululando en los mismos y hay verdaderos expertos en detectarlas.

Tal es así que la empresa de seguridad ReVuln, con sede en Malta, decidió vender la información que posee sobre vulnerabilidades de día cero de programas SCADA. Lo controvertido del caso es que no compartirá esa información con los desarrolladores del software y el hardware defectuoso, sino que la venderá a gobiernos y otros clientes.

Para convertir ese proceder en aún más discutible, La empresa no menciona en su sitio web si seleccionará a sus clientes y con qué criterio. Ya hay un antecedente de este tipo de venta de información. La firma francesa Vupen Security ya procedió en su momento de modo similar, aunque sólo permitió el acceso a esa información a los gobiernos de la OTAN y otros clientes selectos. Si aceptamos que el Stuxnet fue un desarrollo de los americanos y los israelíes, la selección hecha por Vupen es un consuelo muy relativo.

Si bien algunos argumentan que los sistemas SCADA deberían ser seguros porque no deberían estar conectados a Internet, en la práctica eso no es tan así y al parecer muchas computadoras con estos sistemas siguen conectadas a la web. Además Internet no es la única vía de contaminación posible.

Artículo relacionado:

geoestrategia.webnode.es/news/stuxnet-el-arma-que-cambio-o-inicio-la-guerra-cibernetica/