EEUU: Protestan en reunión de ciberseguridad

Por lo menos ocho investigadores o expertos en política informática se retiraron de una conferencia sobre seguridad en internet porque el patrocinador usó deliberadamente tecnología defectuosa de cifrado para permitir que la Agencia de Seguridad Nacional pudiera espiar más fácilmente a usuarios de computadoras.

La compañía RSA Security, propiedad del gigante EMC Corp., ha refutado las acusaciones de que introdujo deliberadamente el algoritmo defectuoso de cifrado, pero se ha negado a discutir un informe publicado el mes pasado sobre un contrato por 10 millones de dólares con el gobierno.

La revelación respaldó los documentos filtrados por el ex contratista de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) Edward Snowden, que muestran que la NSA trató de debilitar el cifrado de datos en internet.

La salida de los expertos de la bien acreditada conferencia de RSA representa la primera respuesta de investigadores y expertos en política molestos porque el espionaje ha debilitado la seguridad en internet, aún para usuarios inocentes.

No se aclaró inmediatamente si cualquiera de los investigadores que participarían en la conferencia abordaría el tema de la seguridad. Hugh Thompson, uno de los organizadores, quien trabaja para la compañía Blue Coat Systems, dijo que este es "un evento abierto donde la gente puede hablar de seguridad abiertamente".

Christopher Soghoian, investigador que colabora con la Asociación Nacional para la Defensa de los Derechos Civiles (ACLU, por sus siglas en inglés) dijo el martes en Twitter que se retiró de la conferencia porque se cansó de "esperar a que RSA suelte la verdad" sobre la relación de su algoritmo Dual_EC_DRBG con la NSA.

La empresa RSA emitió un aviso a sus clientes a mediados del año pasado en el que les pedía no usar el algoritmo luego de que se dieron a conocer informes sobre potenciales vulnerabilidades en el software. Eso no fue suficiente para los investigadores, quienes quieren respuestas sobre el contrato del gobierno con RSA, cuyos productos son usados por miles de negocios para asegurar su información.

La empresa dijo el mes pasado en un comunicado que como compañía de seguridad "nunca divulga detalles de actividades de sus clientes, pero decimos categóricamente que nunca hemos firmado un contrato o entrado a un proyecto que intencionadamente debilite los productos de RSA, o tenga potenciales 'puertas traseras' para que alguien las use".

El reporte publicado señalaba que RSA recibió un contrato de 10 millones de dólares por parte de la NSA para usar el método de generación de números favorito de la agencia. El reporte decía que el algoritmo defectuoso del programa Bsafe de RSA genera números al azar de manera tal que crea "puertas traseras" hacia los productos de cifrado de datos de la compañía.

Los organizadores dijeron que en la conferencia del próximo mes, a celebrarse en San Francisco, participarán 560 oradores, y se espera que acudan más de los 24.000 asistentes que se presentaron el año pasado.

___

Jack Gillum está en Twitter en http://twitter.com/jackgillum