La Agencia de Seguridad Nacional ha descubierto una falla de seguridad importante en el sistema operativo Windows 10 de Microsoft que podría permitir a los piratas informáticos interceptar comunicaciones aparentemente seguras.

Pero en lugar de explotar la falla para sus propias necesidades de inteligencia, la NSA avisó a Microsoft para que pueda arreglar el sistema para todos.

Microsoft lanzó un parche de software gratuito para corregir la falla el martes y le dio crédito a la agencia por descubrirlo. La compañía dijo que no ha visto ninguna evidencia de que los piratas informáticos hayan utilizado la técnica descubierta por la NSA.

Amit Yoran, CEO de la empresa de seguridad Tenable, dijo que es "excepcionalmente raro, si no sin precedentes", que el gobierno de Estados Unidos comparta su descubrimiento de una vulnerabilidad tan crítica con una empresa.

Yoran, quien fue director fundador del equipo de preparación para emergencias informáticas del Departamento de Seguridad Nacional, instó a todas las organizaciones a priorizar la aplicación de parches a sus sistemas rápidamente.

Un aviso enviado por la NSA el martes dijo que "las consecuencias de no reparar la vulnerabilidad son graves y generalizadas".

Microsoft dijo que un atacante podría aprovechar la vulnerabilidad falsificando un certificado de firma de código para que pareciera que un archivo proviene de una fuente confiable.

"El usuario no tiene forma de saber que el archivo es malicioso, porque la firma digital parece provenir de un proveedor de confianza, ", dijo la empresa.

Si se explota con éxito, un atacante habría podido realizar "ataques de intermediario" y descifrar información confidencial sobre las conexiones de los usuarios, dijo la empresa.

Algunas computadoras obtendrán la solución automáticamente si tienen activada la opción de actualización automática. Otros pueden obtenerlo manualmente yendo a Windows Update en la configuración de la computadora.

Microsoft normalmente lanza actualizaciones de seguridad y otras una vez al mes y esperó hasta el martes para revelar la falla y la participación de la NSA. Microsoft y la NSA se negaron a decir cuándo la agencia notificó a la empresa.

La agencia compartió la vulnerabilidad con Microsoft "de manera rápida y responsable, "Neal Ziring, director técnico de la dirección de ciberseguridad de la NSA, dijo en una publicación de blog el martes.

Priscilla Moriuchi, que se retiró de la NSA en 2017 después de dirigir sus operaciones en Asia Oriental y el Pacífico, dijo que este es un buen ejemplo del "papel constructivo" que la NSA puede desempeñar en la mejora de la seguridad de la información global. Moriuchi, ahora analista de la firma estadounidense de ciberseguridad Recorded Future, dijo que es probable que sea un reflejo de los cambios realizados en 2017 en la forma en que EE. UU. determina si revelar una vulnerabilidad importante o explotarla con fines de inteligencia.

La renovación de lo que se conoce como el "Proceso de acciones de vulnerabilidad" puso más énfasis en revelar vulnerabilidades sin parche siempre que sea posible para proteger los sistemas centrales de Internet y la economía y el público en general de los EE. UU.

Esos cambios ocurrieron después de que un grupo que se hacía llamar "Shadow Brokers" lanzó un tesoro de herramientas de piratería de alto nivel robadas a la NSA.

© 2020 The Associated Press. Reservados todos los derechos.