La Agencia de Seguridad Nacional (NSA) de Estados Unidos ha revelado un importante fallo en el sistema operativo Windows 10 de Microsoft que podría haber sido utilizado por los hackers para crear software malicioso disfrazado de código legítimo.
El gigante tecnológico ha emitido un parche, aunque dice que no puede encontrar pruebas de que el fallo haya sido explotado por piratas informáticos. No estaba claro desde cuándo la NSA conocía el defecto antes de alertar a Microsoft.
Brian Krebs, el experto en seguridad que informó por primera vez de la revelación, dijo que el gigante del software había enviado el parche a ramas del ejército estadounidense y a otros usuarios de alto nivel antes de su lanzamiento general. Fue, escribió, "extraordinariamente aterrador".
El problema existe en un componente central de Windows conocido como crypt32.dll, un programa que permite a los desarrolladores de software acceder a diversas funciones, como los certificados digitales que se utilizan para firmar el software. En teoría, podría haber permitido a un hacker hacer pasar una pieza de software malicioso por otra totalmente legítima.
La directora de ciberseguridad de la NSA, Anne Neuberger, declaró a los periodistas que el fallo "hace vulnerable la confianza". Añadió que la agencia había decidido hacer pública su participación en el descubrimiento a petición de Microsoft.
El fallo también es un problema en Windows Server 2016 y 2019, pero no parece afectar a las versiones más antiguas del sistema operativo.
El profesor Alan Woodward, experto en seguridad con sede en la Universidad de Surrey, comentó el fallo:
Es importante porque afecta al núcleo del software criptográfico utilizado por los sistemas operativos de Microsoft. Aunque no hay pruebas de que haya sido explotada por piratas informáticos, es una amenaza importante, ya que expone a los usuarios a una serie de ataques, así que no hay que dejarse llevar por el pánico y aplicar el parche inmediatamente. ...La preocupación es que, en cuanto se conozca la vulnerabilidad en detalle, se producirán exploits y los rezagados que no apliquen el parche serán los principales objetivos.
Fuente: BBC News