Microsoft lanzó una solución de seguridad después de que la Agencia de Seguridad Nacional (NSA) de Estados Unidos reportara una falla “grave” en su sistema operativo Windows, según publicó Reuters.
Este error permitía la falsificación de los certificados digitales utilizados por algunas versiones de Windows para autentificar y proteger datos, lo que podría tener consecuencias graves tanto para la tecnológica como para sus usuarios.
Sin embargo, tanto la NSA como Microsoft aseguraron que no han localizado ninguna evidencia de que ese error haya sido explotado por algún grupo de ciberdelincuentes. No obstante, se ha instado a todos los usuarios a instalar la actualización lo antes posible.
Este parche de seguridad pasará a la historia porque es la primera vez que la NSA solicita de manera pública una actualización así. La portavoz de la Agencia, Anne Neuberger, dijo que esto se debe a que se quiere dar más transparencia a estos aspectos e incentivar la colaboración entre la comunidad de investigación. “Parte del proceso de generación de confianza pasa por ser transparentes con los datos”, explicó la funcionaria.
Reacciones y advertencias
Tras la noticia, se han producido algunas reacciones sobre la gravedad de esta vulnerabilidad y el riesgo de no parchear de inmediato estos sistemas.
Renaud Deraison, cofundador y CTO de Tenable, afirmó que CVE-2020-0601 amenaza la confianza que tenemos en los entornos informáticos digitales de hoy en día: “confianza para autenticar los archivos binarios y confianza en que nuestras comunicaciones cifradas están debidamente protegidas. La falla habilita a un atacante, entre otras cosas, a explotar el cómo Windows verifica la confianza criptográfica, lo que les permitiría entregar código ejecutable y hacer que parezca que proviene de una fuente confiable. Imagine su uso en ransomware y ataques de phishing en sistemas sin parches”.
De acuerdo con Deraison, se trata de una vulnerabilidad grave que espera ver explotada en las próximas semanas y meses. “Veremos ataques continuos a lo largo del año en organizaciones que no parchean sus sistemas rápidamente”, advirtió.
El directivo de Tenable consideró que la divulgación responsable que hizo la NSA a Microsoft sobre esta a vulnerabilidad es un paso en la dirección correcta. “Esperamos continuar con la coordinación entre el sector público y el privado”.
