Que por primera vez, nos da detalles oficiales sobre los programas que antes solo conocíamos a través de filtraciones y rumores, en todo caso. Por otra parte, la prisa indecorosa y la historia de las autoridades estadounidenses en constante cambio es la confirmación, si alguien aún lo necesitaba, que lo que Snowden está revelando es importante - que no levante un alboroto por nada.
Pero quizás aún más importante, otros periodistas han sido avergonzados últimamente por hacer algunas de las preguntas que deberían de haber pedido hace años y hasta décadas. Esto ha resultado en una serie de historias muy interesantes sobre el espionaje de la NSA, muchas de las cuales contienen información auxiliar que es tan importante como la historia principal. Aquí está un gran ejemplo de que apareció el fin de semana en el sitio Bloomberg.
Entre otras cosas, se trata de Microsoft, y la medida en la que ha estado ayudando al espionaje de NSA en el mundo. Por supuesto, eso no es un nuevo temor. En 1999, se afirmó que de forma oculta se habían integrado en Windows:
Un error por descuido por los programadores de Microsoft, ha revelado que los códigos de acceso especiales preparados por la Agencia de Seguridad Nacional de EE.UU. se han construido en secreto en Windows. El sistema de acceso NSA está integrada en cada versión del sistema operativo de Windows ahora en uso, a excepción de las primeras versiones de Windows 95 (y sus predecesores). El descubrimiento viene pisando los talones de las revelaciones a principios de este año que otro software de EE.UU. del gigante, Lotus, había construido una "información de ayuda" trampilla a NSA en su sistema de notas, y que las funciones de seguridad en otros sistemas de software habían sido mutilados deliberadamente.
Más recientemente, ha habido preocupación por Skype, adquirida por Microsoft en 2011 mayo. En 2012, hubo discusiones sobre si Microsoft había cambiado la arquitectura de Skype para hacer espionaje más fácil (la compañía aún tenía la patente de la idea.) Las filtraciones recientes parecen confirmar que esos temores estaban bien fundados, como señala Slate:
Había muchos detalles sorprendentes en la primicia del Washington Post sobre PRISM y sus capacidades, pero una parte en particular, se destacó para mí. El Post, citando a altamente secretas diapositivas en Power Point de NSA, escribió que la agencia tiene la "Guía del usuario de PRISM Skype Collection", una diapositiva específica que describe cómo se puede espiar en Skype, cuando uno de los extremos de la llamada es de un teléfono convencional y por cualquier combinación de "transferencias de audio, video, chat, y el archivo" cuando los usuarios de Skype se conectan por ordenador por sí solo.
Pero incluso eso palidece hasta la insignificancia en comparación con la información más reciente obtenida por Bloomberg:
Microsoft Corp., la compañía de software más grande del mundo, proporciona a las agencias de inteligencia la información acerca de los errores en su popular software antes de liberar públicamente una solución, según dos personas familiarizadas con el proceso. Esa información puede ser usada para proteger las computadoras del gobierno y para acceder a los ordenadores de los terroristas o enemigos militares.
Redmond, Washington basada en Microsoft (MSFT) y otras compañías de software de seguridad de Internet o han sido conscientes de que este tipo de alerta temprana permitió que los EE.UU. para explotar vulnerabilidades en el software vendido a gobiernos extranjeros, según dos funcionarios estadounidenses. Microsoft no pregunta y no se le puede decir cómo el gobierno utiliza como tips, dijeron los funcionarios, que pidieron no ser identificadas porque el asunto es confidencial.
Frank Shaw, portavoz de Microsoft, dijo que esas liberaciones se producen en cooperación con varias agencias y están diseñados para dar al gobierno "un comienzo temprano" en la evaluación y mitigación de riesgos.
Así que vamos a pensar en eso por un momento.
Empresas y gobiernos compran software de Microsoft, dependiendo de la compañía para crear programas que son seguros y protegidos. Ningún software es completamente libre de errores y fallas graves se encuentran con frecuencia en el código de Microsoft (Y de código abierto, también, por supuesto) Así que la cuestión no es si el software tiene fallas - cada pieza no trivial de código hace - pero cómo la gente que produce ese código responden a ellos.
Lo que las empresas y los gobiernos quieren es que los defectos que se fijen lo antes posible, de modo que no puedan ser explotados por los delincuentes para causar daños en sus sistemas. Y sin embargo, nos enteramos ahora de que una de las primeras cosas que Microsoft hace es enviar información sobre las vulnerabilidades de "múltiples agencias" - presumiblemente, que incluye la NSA y la CIA. Por otra parte, sabemos también que "este tipo de alerta temprana permitió que los EE.UU. para explotar vulnerabilidades en el software que se vende a los gobiernos extranjeros".
Y recuerda que "los gobiernos extranjeros" significa que son los países de la UE, así como en otros lugares (el hecho de que el gobierno del Reino Unido ha estado espiando a países "amigos" hace hincapié en que todo el mundo lo está haciendo.) Por otra parte, sería ingenuo pensar que agencias de espionaje los EE.UU. están utilizando están explotando desde el día cero exclusivamente para irrumpir en los sistemas de gobierno, el espionaje industrial formaba parte del sistema de vigilancia mayor Echelon, y no hay razón para pensar que los EE.UU. se contendrá en la actualidad (en todo caso, las cosas tienen mucho peor.
Eso significa que es muy probable que las vulnerabilidades de productos de Microsoft habitualmente se utilizan para entrar en los gobiernos extranjeros y a las empresas para los efectos de diversos tipos de espionaje. Así que cada vez que en una empresa se instala un nuevo parche de Microsoft para corregir defectos importantes, es importante tener en cuenta que alguien puede haber utilizado esa vulnerabilidad con fines nefastos.
Las implicaciones de esto son realmente bastante profunda. Las empresas compran productos de Microsoft, por muchas razones, pero todos asumen que la compañía está haciendo todo lo posible para protegerlos. Las últimas revelaciones demuestran que es una suposición falsa: Microsoft conscientemente pasa regularmente información sobre cómo entrar en sus productos a las agencias de los Estados Unidos. ¿Qué ocurre con la información de que a partir de entonces es, por supuesto, un secreto?. No a causa de "terrorismo", pero debido a los ataques casi seguro ilegales, se están haciendo a los países fuera de los EE.UU., y sus empresas.
Es nada menos que una traición a la confianza que los usuarios dan a Microsoft, y me pregunto cómo un administrador de TI puede recomendar seriamente el uso de productos de Microsoft más ahora que sabemos que es casi seguro que los vectores de ataques de las agencias de espionaje de Estados Unidos que podrían causar enormes pérdidas a las empresas en cuestión (como ocurrió con Echelon).
Pero hay otro punto de vista interesante. Aunque no se ha escrito mucho al respecto - como por mí, para mi vergüenza - un nuevo acuerdo legislativo frente a los ataques en línea se está elaborando en la UE. Aquí está uno de los aspectos de la misma:
El texto requiere a los Estados miembros a establecer sus penas máximas de prisión de no menos de dos años por los delitos de: el acceso ilegal o interferir con los sistemas de información, lo que interfiere ilegalmente con los datos, la interceptación ilegal de comunicaciones o producción y venta intencionadamente herramientas utilizadas para cometer estos delitos.
"Ilegalmente acceder o interferir con los sistemas de información" parece ser precisamente lo que el gobierno de EE.UU. está haciendo a los sistemas extranjeros, presumiblemente incluyendo los de la UE también. Eso indicaría que el gobierno de EE.UU. caerá en desgracia con estas nuevas regulaciones. Pero tal vez Microsoft será también, ya que está haciendo claramente el "acceso no autorizado" posible en el primer lugar.
Y hay otro aspecto. Supongamos que los EE.UU. espía defectos utilizados en el software de Microsoft para introducirse en un sistema corporativo y para espiar a terceros. Me pregunto si las empresas podrían verse acusados de todo tipo de delitos sobre los que no saben nada, y enjuiciadas como resultado. Probar la inocencia en este caso sería difícil, ya que sería cierto que los sistemas de la empresa se utilizan para espiar.
Por lo menos, ese riesgo es otra buena razón para no volver a utilizar el software de Microsoft, junto con todos los demás que he estado escribiendo por aquí desde hace años. No sólo que el código abierto es generalmente más barato (especialmente una vez que se toma en cuenta el costo de los cierres en que el software Microsoft trae consigo), mejor escrito, más rápido, más fiable y más seguro, pero que, sobre todo, respeta software libre a sus usuarios,colocándolos firmemente en control.
Por lo tanto, le libera de preocupaciones de que la empresa que suministra un programa permitirá a los demás en secreto para activar el software que pagó mucho dinero por su contra en su perjuicio. Después de todo, la mayor parte de la corrección de errores en el código abierto es hecho por programadores que tienen poco amor por la autoridad de arriba hacia abajo, por lo que la probabilidad de que estén dispuestos a entregar las vulnerabilidades a la NSA en forma regular, ya que Microsoft hace, debe ser extremadamente pequeña.
Por Glyn Moody