Lo mencionamos semanas atrás cuando RSA reportó que hackers extrajeron información relacionada con SecurID, con lo que 40 millones de usuarios de banca electrónica estarían en riesgo. Hace unas horas, RSA confirma a The Wall Street Journal que el riesgo es insoslayable y ahora es una amenaza real.

De hecho, el peligro es tal que RSA ofrece reemplazar todos y cada uno de los cerca de 40 millones de tokens SecurID. En lo personal, no sé cuál será la estrategia que RSA seguirá para entregar a esa cantidad de usuarios un token nuevo que además ya incluya algoritmos más seguros.

El asunto es urgente puesto que Lockheed Martin, el gigante especialista en tecnologías para seguridad y defensa aeroespacial de los EE. UU., fue atacado con gran fuerza que se sabe fue facilitada por los token SecurID vulnerados. Es muy probable que otros clientes de RSA hayan pasado por intentos de ataque similares.

Por el momento RSA parece intentar comunicar cuanto le es posible a sus clientes sobre el tema. Tiene que ser así. No olvidemos que por ser una empresa dedicada a la seguridad informática --y prácticamente lo es por antonomasia-- su reputación positiva así como la sensación de seguridad y confianza que ofrezca a sus clientes --los corporativos y gubernamentales sobre todo-- es vital para su negocio.

RSA dice mediante su Chairman, Art Coviello, lo siguiente

Aún creemos que los clientes están protegidos [...]

El modus operandi [de los atacantes] nos lleva a creer que probablemente intente atacar secretos de la Defensa y aquellos relacionados con propiedad intelectual

Los tokens SecurID de RSA son dispositivos de autenticación que sirven para aprobar el acceso a un sistema mediante dos vías: la contraseña del usuario y un número pseudoaleatorio temporal, ambos validados por el servidor. La semilla que genera esos números es única para cada token, y por ende lo es para su dueño.

Si el algoritmo y la semilla implementados en el token SecurID han sido desvelados, el token se vuelve un dispositivo inútil porque su comportamiento puede reproducirse a voluntad para ingresar a un sistema.

Es difícil calcular el rumbo que tomará esta situación. Lo cierto es que debemos estar preparados. La tecnología toda es vulnerable, propensa a hacking, hoyos de seguridad y demás que debemos aceptar, incluso si parecen invencibles como los famosos SecurID o nuestros amados servicios en la nube.

Foto: br1dotcom