Windows Update

Windows Update

Software

Actualiza Windows: un fallo "crítico" permite saltarse toda la seguridad del sistema

La NSA estadounidense ha descubierto una vulnerabilidad crítica en Windows 10, que permite instalar programas maliciosos y capturar comunicaciones.

15 enero, 2020 08:51

Noticias relacionadas

Aunque Windows 10 sea un sistema relativamente moderno, en realidad muchos de sus componentes ya tienen varias generaciones encima y han sido heredados de versiones antiguas.

Son partes muy fiables, que han sido mejoradas y modificadas con cada nueva versión del sistema; por eso es muy raro que den problemas, y ofrecen la compatibilidad con aplicaciones y funciones antiguas que pedimos los usuarios.

Pero también es por eso que, cuando una de estas piezas da problemas, suele ser catastrófico, porque todo el sistema depende de ellas. La última actualización de Windows 10 publicada el día de ayer soluciona una de esas catástrofes.

Una vulnerabilidad grave en Windows

El problema afecta a uno de los componentes más viejos, y al mismo tiempo más importantes, de Windows: CryptoAPI. Como su nombre indica, se encarga de la criptografía, de cifrar software y archivos de manera segura.

CryptoAPI lleva ya décadas presente en Windows como una parte esencial, pero es ahora que ha sufrido el que es probablemente el bug más grave de su historia, especialmente porque se usa en procesos como la firma digital, que permite a los desarrolladores firmar su software para garantizar que no ha sido modificado y que proviene de fuentes seguras.

Esquema de CryptoAPI en Windows

Esquema de CryptoAPI en Windows Microsoft

La vulnerabilidad permite usar CryptoAPI para firmar programas peligrosos o no oficiales como si fueran de proveedores fiables. En otras palabras, podríamos estar ejecutando programas maliciosos sin saberlo; el sistema no tiene otra manera de saber que el software es fiable. La firma digital parece como la de un desarrollador fiable, así que Windows le dará acceso a nuestro sistema.

No solo eso, sino que expertos de la Universidad Carnegie Mellon han advertido que el fallo en CryptoAPI también puede ser usado para interceptar comunicaciones seguras; en concreto, un atacante podría capturar el tráfico HTTPS de las páginas web que visitamos, descifrar el contenido y modificarlo. Esto podría servir, por ejemplo, para obtener información útil como nuestra tarjeta de crédito o nuestras contraseñas.

La NSA, descubridora del bug de Windows

Tal vez lo más raro de este bug es quién lo ha descubierto: la NSA, la organización espía estadounidense, responsable de desarrollar técnicas para hackear e infiltrarse en redes. El verdadero alcance de sus ciberataques se descubrió en los últimos años, e incluye ataques contra Google y Yahoo para obtener información, además de una red "Skynet", que le permite rastrear a personas usando el poder de la nube.

NSA

NSA

Que la NSA haya descubierto primero esta vulnerabilidad indica que podría haberla usado; pero el director de la organización ha salido al paso, afirmando que, aunque estudiaron la posibilidad de usar este bug para sus ofensivas, finalmente decidieron avisar a Microsoft.

Es gracias a este aviso que Microsoft ha podido crear la actualización que fue lanzada el día de ayer; por lo tanto, la compañía cree que la vulnerabilidad no ha sido usada por atacantes, al menos no aún, y por eso ha elogiado a la NSA. Sin embargo, ahora que el fallo es público, es de esperar que muchos hackers intenten aprovecharse de ella, especialmente en sistemas que no se actualizan automáticamente.