Web Analytics
Conecta con nosotros

Noticias

La CIA usó instrucciones de Reddit para hackear Windows

Publicado el

La CIA copió instrucciones publicadas en un subforo de Reddit para hackear Windows, según se desprende del análisis del material filtrado por WikiLeaks.

El penúltimo escándalo sobre el espionaje masivo al que nos tienen sometidos las agencias de inteligencia sigue dando titulares. Si hace unos días era Apple la que reconocía la existencia de los exploits para iPhone utilizados por la CIA, ayer Google y Microsoft hicieron lo propio.

El trío de grandes ha asegurado que la mayoría de vulnerabilidades recogidas en la documentación ya han sido parcheadas y por supuesto, han vuelto a negar cualquier tipo de connivencia con los manejos de la CIA, lo mismo que comentaron del programa PRISM de la NSA.

Ayer mismo el fundador de WikiLeaks, Julian Assange, anunciaba que compartirá con las tecnológicas las herramientas utilizadas por la CIA, creadas por un ciberejército dedicado a insertar malware y preparar exploits para espiar y en algunos casos controlar totalmente los dispositivos electrónicos más populares del mercado. Desde smartphones con iOS y Android, productos de redes como routers, medios de almacenamiento como discos duros o televisores inteligentes, y cómo no, ordenadores personales con Windows.

Al hilo de ello, nos llega una noticia sumamente curiosa: la CIA usó instrucciones de Reddit para hackear Windows. Resulta que un usuario ha buceado entre los 9.000 archivos publicados por WikiLeaks encontrando el código para explotar una vulnerabilidad de Windows (hackeo del control de cuentas UAC y su posible mitigación), que había sido publicado hacía dos años en el subforo especializado en seguridad de redes, r/netsec, que mantiene el agregador de noticias.

screen-shot-2017-03-09-at-3-06-01-pm

El foro tiene prestigio y como vemos la agencia de inteligencia lo tienen controlado. En los documentos, el especialista de la CIA cita «otros sitios web a visitar para estar al día y obtener nuevas ideas», como HackerNews, Swiftforensics, Slashdot y el mismo subforo de Reddit donde ha surgido esta curiosa noticia. El usuario ha incluido un enlace a la publicación de Reddit y al artículo original al que hace referencia WikiLeaks. Curioso.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

14 comentarios
  • Letizia

    Y después se preguntan porqué las empresas gringas tienen más éxito o cómo consiguen construir una planta de desecho a la orilla de una reserva de agua, algo jamás pensando, criminal, para acabar con los recursos propios y después poder vender. Chantaje, extorsión, lo más grande que exporta gringolandia.

  • MaximoGeek

    Jajajajaja hay que ser demasiado…… Seamos sinceros en la deep web se puede encontrar información acerca del SO que desees y lo peor de todo es que es un hecho de que deben haber vulnerabilidades que no han sido documentadas aún ya que esto no les conviene a las personas que los descubrieron, es simple lógica no? Y esto incluye a TODOS los sistemas operativos por más que no les guste a ese grupículo de caídos del catre que alaban a su SO más «zegudo del mundo».

  • Seba

    cuando es Mac OS o Linux es por que son una mierda y los fanáticos son esto y aquello, cuando es Windows es por que todos los sistemas tienen vulnerabilidades y es algo normal.
    El fanatismo es un cáncer, venga de donde venga.

  • MaximoGeek

    Yo no he dicho que Windows no los tenga lo que pasa es que estoy consciente de que todos los SOs tienen «exploits» y no ando llorando como mariquita por que mi SO es seguro y ES Unix, esas son pavadas.

  • Rafael

    Con esto se refuerza una idea, para compañías como Microsoft, no todos los exploits tienen que ser parcheados.

  • Luis

    Tu idea está mal, porque da por sentado que Microsoft sabía pero deliberadamente no hizo nada.

    En el peor de los casos esto sólo demuestra que la vulnerabilidad era conocida por cierto público y que Microsoft aún no la había parcheado (posiblemente no lo conocía).

    Lo que sí se demuestra, es que «los millones de ojos» cuando encuentran algo no implica directamente que lo vayan a reportar como niños buenos y no lo van a publicar y explotar en provecho propio.

  • Luis

    Si bien UAC es una buena idea y una gran innovación en seguridad, el error sigue siendo usar cuenta de Administrador para el día a día.
    Nota: Para quién no lo sepa, UAC hace que los que usan cuenta de Administrador, en todo momento carezcan de dichos privilegios como si usaran una cuenta Estándar.

  • Rafael

    Muy posiblemente no, pero, les han hecho varias auditorías y no me extrañaría pensar que estuvieron arreglando muchas cosas detrás de bastidores, por lo que se ajusta más a su política de no revelar cuales son sus vulnerabilidades, sean las intenciones que sean.

    Y efectivamente, millones de ojos no son millones de ojos buenos, pero en primera, no son ni millones los que están detrás del proyecto, ni la mayoría se conforma de ajenos, ni a proyectos de software libre respaldados por fundaciones ni por los de las empresas; los que aprovechan los exploits como el hacking team o la empresa israelí que colaboró con Estados Unidos ni si quiera colaboran en los proyectos de software libre.

    Y los que colaboran en muchas ocasiones o les pagan, o tienen intereses de por medio, así que no demuestra tampoco tu punto. Pero en todo caso es cierto, Microsoft no es culpable, de algo que existe y no se ha revelado, o de algo que igual y no.

  • Luis

    Absolutamente todos arreglan las cosas tras bastidores y no dicen nada sino hasta que ya lo han arreglado, incluso los que se la dan de muy abiertos.

    Al final dices que no se demuestra mi punto pero en el párrafo anterior dices que sí es cierto lo que digo (y que demostró los hechos).

  • Rafael

    No es lo mismo tener una licencia libre a tener un modelo de desarrollo abierto a todos los colaboradores, en todo proyecto de software libre existen diferencias entre los que están dentro del proyecto y los que reportan problemas o dan un poco de código.

    Y pensé que tu punto era que tener millones de ojos no implicaba que todos reportaran las fallas, y yo ya te respondí que grupos como el hacking team no forman parte de esos miles de ojos involucrados en los proyectos, sino que aprovechan las vulnerabilidades que aparecen actualización con actualización.

  • Caliber

    me cuesta de creer que un refugiado como Asanje tenga esas herramientas y las grandes corporaciones no…. es evidente que sabían del problema y nunca les ha interesado arreglarlo hasta que se ha destapado la verdad.
    todavía me acuerdo del paripé de Apple defendiendo a su usuario frente al FBI por no querer desbloquear un telefono, esto es para dar buena imagen pero en el fondo tus datos estarán siempre en manos de la CIA

  • Rafael

    Es que le damos a las empresas un beneficio de la duda sin darnos a nosotros la oportunidad de verlos por la otra manera.

    Es simplemente que queremos postergar la protección de la privacidad y la transparencia en internet hasta que revelen datos aún peores. Y aún así muchos le llaman taliban a Stallman.

  • Luis

    El dogma dice que hay «millones de ojos» viendo el código, pero los hechos muestran que los ojos, cuando los hay, no siempre desviven por estar «involucrados en el proyecto».

  • jorge massoud

    el subforo especializado en seguridad de redes, r/netsec, que mantiene el agregador de noticias.

Top 5 Cupones

Lo más leído