Los principales proveedores mundiales seguridad informática, SAP, Symantec y McAfee han permitido que las autoridades rusas busquen vulnerabilidades en sus softwares, lo cual pone potencialmente en peligro la seguridad de las redes de computadoras en varias agencias federales estadounidenses que los usan.
Una investigación de Reuters reveló que tres compañías permitieron que una agencia de defensa rusa revisara el funcionamiento interno o el código de algunos de sus productos, con el fin declarado de detectar fallas que podrían ser explotadas por piratas informáticos.
Pero esos mismos productos protegen algunas de las agencias más sensibles del gobierno estadounidense como el Pentágono, la NASA, el Departamento de Estado, el FBI y la comunidad de inteligencia contra hackers rusos.
McAfee, SAP, Symantec y Micro Focus (MCRO.L), la firma británica que ahora es propietaria de ArcSight, dijeron que las revisiones de los códigos se realizaron bajo la supervisión del fabricante del software en instalaciones seguras donde el código no podía eliminarse o modificarse y que el proceso no compromete la seguridad del producto.
Aun así, Symantec y McAfee ya no permiten esas revisiones y Micro Focus modificó bruscamente las mismas a fines del año pasado, en medio de creciente noticias sobre el trabajo sucio de los hackers rusos, acusados de entrometerse en la elección presidencial estadounidense de 2016.
En octubre, otra investigación de Reuters reveló que el software Hewlett Packard Enterprise (HPE.N) conocido como ArcSight y usado para ayudar a proteger las computadoras del Pentágono, había sido revisado por un contratista militar ruso con estrechos vínculos con los servicios de seguridad de ese país.
ArcSight se usa en al menos otras siete agencias, incluida la Oficina del Director de Inteligencia Nacional y la unidad de inteligencia del Departamento de Estado. Además, los productos fabricados por SAP, Symantec y McAfee y revisados por las autoridades rusas se utilizan en al menos ocho agencias. Algunas agencias usan más de uno de los cuatro productos.
Reuters no halló ningún caso en el que una revisión del código haya jugado un rol en un ataque cibernético, y algunos expertos en seguridad dicen que es más probable que los hackers encuentren otras formas de infiltrarse en los sistemas de red.
Pero expertos cibernéticos del sector privado, ex funcionarios de seguridad y algunas compañías de tecnología de Estados Unidos dijeron a Reuters que permitir que Rusia revise el código fuente puede exponer vulnerabilidades desconocidas que podrían usarse para socavar las defensas de la red de Estados Unidos.
"Incluso dejar que la gente mire el código fuente durante un minuto es increíblemente peligroso", comentó Steve Quane, vicepresidente ejecutivo de defensa de red de Trend Micro, que vende el software de seguridad TippingPoint al ejército estadounidense.
Trend Micro se ha negado a permitir que los rusos realicen una revisión del código fuente de TippingPoint, dijo Quane.
En septiembre, el gobierno emitió una directiva prohibiendo el uso del software de seguridad ruso Kaspersky en sistemas federales, al considerarlo un “riesgo para la seguridad”.
Quane dijo que los principales investigadores de seguridad pueden detectar rápidamente las vulnerabilidades explotables simplemente examinando el código fuente.
"Sabemos que hay personas que pueden hacer eso, porque tenemos gente así que trabajan para nosotros", aseguró.