Los secretos del código: cómo los servicios de inteligencia de EE. UU. aprovechan los errores en el software

El informe anual del Proceso de Equidad de Vulnerabilidades (Vulnerabilities Equities Process, VEP) correspondiente al año fiscal 2023 (FY23) revela detalles interesantes sobre cómo las agencias de inteligencia y federales de EE. UU. gestionaron vulnerabilidades en el software.

En el marco de este proceso, se revelaron 39 vulnerabilidades durante el año, incluyendo:

• 29 vulnerabilidades nuevas identificadas durante el período del informe;
• 10 vulnerabilidades revisadas de años anteriores y reveladas tras una evaluación adicional.

Observaciones principales:

1. Estado de los parches desconocido: el informe indica que no se realiza un seguimiento sobre si los desarrolladores corrigieron las fallas. Esto resalta una importante falta de transparencia y dificulta evaluar el impacto de la divulgación de vulnerabilidades en la seguridad general del software.
2. Vulnerabilidades revisadas (10 casos): es probable que estas fallas se mantuvieran para uso interno del gobierno, lo que podría incluir espionaje u operaciones ofensivas. Esto coincide con la práctica de retener ciertas vulnerabilidades para obtener ventajas estratégicas.
3. Falta de información sobre el alcance del proceso: el informe VEP no incluye datos sobre cuántas vulnerabilidades fueron evaluadas pero no reveladas. Esto impide medir cuántas vulnerabilidades se consideraron inicialmente para divulgación pero se reservaron para fines operativos. Tal información podría ofrecer una perspectiva sobre el equilibrio entre la seguridad pública y los intereses nacionales.

El VEP sigue siendo un mecanismo importante pero no completamente transparente para decidir si se deben divulgar vulnerabilidades de software o conservarlas en interés de la seguridad nacional. Sin embargo, la falta de datos sobre la implementación de parches y el número total de vulnerabilidades evaluadas limita la comprensión de la efectividad del VEP para el público general.