La NSA se infiltró en la firma RSA más de lo pensado, según un estudio

lunes 31 de marzo de 2014 14:29 GYT
 

Por Joseph Menn

SAN FRANCISCO (Reuters) - La empresa pionera de seguridad RSA adoptó no sólo una sino dos herramientas de encriptación desarrolladas por la Agencia Nacional de Seguridad, aumentando la capacidad de espionaje de la agencia estadounidense para rastrear algunas comunicaciones de Internet, según un equipo de investigadores académicos.

Reuters informó en diciembre que la NSA había pagado a RSA unos 10 millones de dólares para convertir un sistema de criptografía ahora desacreditado en el estándar utilizado por un amplio abanico de programas de seguridad.

El sistema, denominado "Curva Elíptica Dual", era el creador de un número aleatorio, pero tenía una vulnerabilidad deliberada, ó "puerta trasera", que permitía a la NSA descifrar el encriptado.

Un grupo de profesores de la Universidad Johns Hopkins, la Universidad de Wisconsin, la Universidad de Illinois y otras ahora dicen haber descubierto que un segunda herramienta de la NSA exacerbaba la vulnerabilidad del sistema operativo de la RSA.

Los profesores determinaron que la herramienta, conocida como "Extensión Aleatoria" para páginas web seguras, podría ayudar a desencriptar una versión del software de la denominada "Curva Elíptica Dual" decenas de miles de veces más rápido, según una copia adelantada del estudio compartido con Reuters.

Mientras que la "Extensión Aleatoria" no resultó ampliamente implementada, la nueva investigación arroja luz sobre cómo la NSA amplió el alcance de su investigación bajo el pretexto de asesorar sobre protección a las compañías.

RSA, ahora en manos de EMC Corp, no discutió el contenido de la investigación cuando fue contactado por Reuters para realizar comentarios.

La empresa dijo que no había debilitado intencionadamente la seguridad de ningún producto y señaló que el sistema de "Extensión Aleatoria" no tuvo una acogida masiva y fue quitado del software de protección de la RSA en los últimos seis meses.   Continuación...

 
La planta de RAS en Bedford, EEUU, mar 28 2014. La empresa pionera de seguridad RSA adoptó no sólo una sino dos herramientas de encriptación desarrolladas por la Agencia Nacional de Seguridad, aumentando la capacidad de espionaje de la agencia estadounidense para rastrear algunas comunicaciones de Internet, según un equipo de investigadores académicos. REUTERS/Brian Snyder