Un reporte publicado por el Wall Street Jounal el día de hoy informa que autoridades del gobierno estado unidense confirman que un grupo de expertos en seguridad de la firma Finite State acusan a la compañía china de intencionalmente construir sistemas vulnerables a ciberdelincuentes.
El fabricante chino de equipos de telecomunicaciones Huawei Technologies Co. vende equipos que tienen una mayor probabilidad de contener vulnerabilidades que puedan ser explotadas por ciberdelincuentes que los equipos de compañías rivales, según una nueva investigación realizada por expertos en seguridad cibernética.
Más de la mitad de los casi 10,000 firmware analizados en más de 500 variaciones de dispositivos de red empresariales probados por los investigadores contenían al menos una vulnerabilidad grave y explotable, según reportaron los investigadores. El firmware es el software que alimenta los componentes de hardware de una computadora.
Las pruebas se reunieron en un nuevo informe que se ha presentado en las últimas semanas a funcionarios de alto nivel en múltiples agencias gubernamentales en los EE. UU. El informe es notable tanto por sus hallazgos como porque está circulando ampliamente entre los funcionarios de la administración de Trump que dijeron que validaba aún más sus decisiones políticas hacia Huawei.
Si bien el informe documenta lo que denomina fallas de ciberseguridad en el equipamiento de Huawei y un patrón de malas decisiones de seguridad supuestamente tomadas por los ingenieros de la firma china, no acusa a la compañía de construir deliberadamente debilidades en sus productos. Tampoco abordó directamente las afirmaciones de Estados Unidos de que Huawei probablemente realice espionaje electrónico para el gobierno chino, lo que Huawei ha negado durante mucho tiempo.
Un funcionario de Huawei dijo que la compañía dio la bienvenida a una investigación independiente que podría ayudar a mejorar la seguridad de sus productos, pero agregó que no podía comentar sobre detalles específicos en el informe Finite State porque no se compartió en su totalidad con la compañía.
El informe incluye un caso de estudio que compara uno de los conmutadores de red de gama alta de Huawei contra dispositivos similares de las marcas Arista Networks y Juniper Networks Inc. y encontró que el dispositivo de Huawei tenía factores de riesgo más altos en seis de nueve categorías, generalmente por un margen sustancial.
En uno de los casos estudiados, el conmutador de red de Huawei registró un percentil de riesgo del 91% para la cantidad de credenciales con contraseñas predeterminadas codificadas en comparación con todo el conjunto de datos del firmware de Finite State.
En comparación, el nivel de riesgo para Arista y Juniper fue calificado en 0%.