Cuando parecía que tras el escándalo de WikiLeaks nada podía avergonzar más a los servicios de información de los EEUU, un antiguo contratista del gobierno norteamericano aseveró que el FBI puso deliberadamente agujeros de seguridad en el sistema operativo libre OpenBSD, a fin de acceder a los contenidos de sus usuarios.
La acusación fue hecha pública por el líder del proyecto OpenBSD, Theo de Raadt, luego de recibir un correo electrónico de Gregory Perry, un ex contratista de gobierno que actualmente es CEO de una empresa de virtualización.
“El asunto me fue informado de manera privada por una persona con la que no había hablado hace casi 10 años. Me niego a volverme parte de semejante conspiración y no discutiré este tema con Gregory Perry, por lo que decidí hacerlo público”, explicó De Raadt en una lista de discusión de OpenBSD.
Las repercusiones podrían ser graves ya que el sistema operativo no sólo es usado en múltiples servidores en todo el mundo, sino que sus componentes son la base o están presentes en otros sistemas operativos basados en Unix, particularmente en versiones de Linux como Gentoo. Más aún, al concentrarse los dardos sobre el protocolo IPsec, podría comprometer la seguridad incluso de algunos ruteadores (router).
Según explicó Perry en una entrevista por correo electrónico a la revista Computer World, el código fue incorporado en el sistema como una forma de que el FBI pudiera monitorear las comunicaciones cifradas del Departamento de Justicia de los EEUU. El hombre afirmó haber trabajado con la Agencia mientras fue jefe de tecnología de una firma de seguridad llamada Netsec y como contratista del centro de soporte técnico del FBI, creado a fines de los 90 para descifrar las claves de seguridad usadas por criminales.
Parte de los resultados de Perry fueron desarrollar métodos de hackeo conocidos como “ataques de canal”, que permiten encontrar información secreta buscando en lugares inesperados, o descubrir contraseñas monitoreando el tiempo que le toma a un computador procesar diferentes caracteres, explica la publicación.
De hecho, el hombre señaló que desarrolló una red privada virtual (VPN) para el Departamento de Justicia de EEUU que “más tarde demostró haber sido intervenida por el FBI para recabar (potencialmente) información del gran jurado sobre varios abogados de EEUU e incluso más allá”, escribió Perry.
El FBI no se ha pronunciado hasta el momento confirmando o descartando las acusaciones, sin embargo una de las personas señaladas por Perry como colaborador, negó totalmente haber trabajado para la Agencia.
“No soy ni nunca he sido empleado o asociado del FBI ni ninguna otra agencia de gobierno. No tengo idea de dónde sacó la información la persona que sacó este rumor, pero se equivoca totalmente al decir que yo tuve algo que ver”, se defendió en su blog Scott Lowe, un experto en virtualización que trabaja para la compañía EMC.
En tanto, el consultor de seguridad Dan Kaminsky afirmó a Computer World que las acusaciones de Perry podrían ser ciertas, pero se mostró escéptico. “No hay forma de saberlo. La gran pregunta aquí es si este sujeto hablará públicamente sobre sus acusaciones. ¿Podría alguien incluso encontrar el material que estuvo protegido tanto tiempo por un contrato de confidencialidad?”.