No fue Google, sino la NSA quien realmente descubrio Heartbleed

Recuerdan hace unos meses el escandalo de seguridad informatica acerca de una vulnerabilidad en servidores con OpenSSL llamada Heartbleed? Esta vulnerabilidad permitia descifrar las comunicaciones seguras entre cliente y servidor, como las que suceden cuando realizas transacciones bancarias. En aquellos dias, se reporto ampliamente que un ingeniero de Google, al mismo tiempo que una agencia de seguridad informatica, encontraron esta falla y se dieron a la tarea de crear el parche para los sistemas afectados.

Incluso hasta se le entrego un premio monetario de $15,000 dolares al ingeniero de Google Neel Mehta por el descubrimiento.

Hace unos dias, el director de la NSA Michael Rogers dio una conferencia en la universidad de Stanford en California, y en la sesion de preguntas y respuestas le preguntaron cual es la politica de respuesta de la NSA ante descubrimientos de vulnerabilidades en sistemas, llamados 0-day hacks. A lo que respondio que la administracion de Obama tiene como politica en primera instancia compartir el conocimiento con las empresas del sector privado.

Pero lo mas sorprendente fue el ejemplo que dio al hablar de los 0-day hacks. Dijo que cuando ellos descubrieron Heartbleed, fueron ellos, la NSA, quienes le avisaron al sector privado y les autorizaron tomar el credito de tal descubrimiento, que no tenian que decir que fue la NSA quienes realmente descubrieron el error.

Les presento el video de esta conversacion a continuacion. En el minuto 2 del video es cuando menciona lo de Heartbleed.