La Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) descubrió una falla importante en Windows 10 que puede ser usada por piratas informáticos para crear software malicioso que parece legítimo.
Microsoft ha publicado un parche y señaló que no había visto evidencia de que los hackers explotaran el error. El problema fue revelado durante una conferencia de prensa de la NSA. No quedó claro cuánto tiempo antes lo supo antes de comunicárselo a Microsoft.
Brian Krebs, el experto en seguridad que fue el primero en revelar el problema, dijo que el gigante del software había enviado el parche a las ramas del ejército estadounidense y otros usuarios de alto nivel antes de lanzarlo de forma más generalizada
La falla
El problema existe en un componente central de Windows conocido como crypt32.dll, un programa que permite a los desarrolladores de software acceder a varias funciones, como los certificados digitales que se utilizan para firmar software.
En teoría, podría haber permitido que un pirata informático hiciera pasar una pieza de software malicioso como algo completamente legítimo. La directora de seguridad cibernética de la NSA, Anne Neuberger, dijo a los periodistas que el error “hace que la confianza sea vulnerable”.
Agregó que la agencia había decidido hacer pública su participación en el descubrimiento a pedido de Microsoft. La falla también es un problema en Windows Server 2016 y 2019, pero no parece afectar las versiones anteriores del sistema operativo.
El profesor Alan Woodward, un experto en seguridad con sede en la Universidad de Surrey, dijo sobre la falla: “Es grande porque afecta el software criptográfico central utilizado por los sistemas operativos de Microsoft”.
“Aunque no hay evidencia de que haya sido explotado por piratas informáticos es una gran amenaza, ya que deja a los usuarios abiertos a una variedad de ataques, por lo que este es un caso en el que no hay que entrar en pánico, pero hay que aplicar el parche de inmediato”.
“La preocupación es que tan pronto como se conozca la vulnerabilidad en detalle, esta será explotada y los rezagados que no usen el parche serán objetivos principales“, advirtió.