Google conocía el fallo de seguridad Heartbleed pero no quiso informar al Gobierno de EE.UU.
Neel Mehta, un ingeniero de Google, fue el primero que descubrió «Heartbleed» – un fallo de seguridad que invalida el sistema de cifrado ampliamente extendido OpenSSL – en marzo. Un equipo de la firma de seguridad Codenomicon descubrió el fallo más o menos a la vez.
Google fue capaz de poner parches a la mayoría de sus servicios – como correo electrónico, búsquedas, y YouTube – antes de que las compañías dieran a conocer la vulnerabilidad el 7 de abril.
Los investigadores también notificaron a un buen número de compañías sobre este fallo antes de que fuera público. La firma de seguridad CloudFare, por ejemplo, afirma que solucionó el problema el 31 de marzo.
Sin embargo la Casa Blanca afirmó el viernes que nadie del gobierno federal conocía este problema hasta abril. La administración hizo esta afirmación para negar un informe previo de Bloomberg que indicaba que la Agencia Nacional de Seguridad había estado explotando Heartbleed durante años.
Al preguntar a Google sobre si había facilitado información de Heartbleed al gobierno estadounidense, un portavoz de la compañía solamente indicó que la «seguridad de la información de nuestros usuarios es la máxima prioridad» y que los usuarios de Google no necesitan cambiar sus contraseñas.
Aunque las compañías a menudo esperan a publicitar un fallo de seguridad hasta haber tenido tiempo de corregir los problemas de sus propios servicios, ocultar el fallo al gobierno estadounidense pudo dejar los sistemas federales vulnerables a hackers.
El gobierno estadounidense anima a las compañías a informar de asuntos de seguridad digital al U.S. Computer Emergency Readiness Team (CERT). US-CERT tiene un centro de operaciones 24-horas que responde a amenazas de seguridad y vulnerabilidades.
Christopher Soghoian, de la Unión Americana Por las Libertades Civiles, afirmó que el gobierno estadounidense solo puede culparse a sí mismo si las compañías tecnológicas no se fían de él para proporcionarles información de seguridad sensible.
Dado que las agencias comparten información, esta información habría llegado probablemente a la NSA, quien la podría haber utilizado para escuchar conversaciones privadas. De ahí que posiblemente Google no quisiera compartir esta información con las autoridades. | Fuente: National Journal