Fallos de seguridad cibernética en EEUU aumentan amenaza de "ataques mortales de misiles": informe del Pentágono

El informe de n inspector general encontró unidades de almacenamiento de información sin cifrar, servidores clasificados sin cierres y errores de computadora sin reparar que se remontan a 1990.

fallos de ciberseguridad básicos como descuidar el cifrado de memorias flash clasificadas y el hecho de no poner bloqueos físicos en los servidores informáticos críticos dejan a estados unidos vulnerable a ataques mortales de misiles, reveló el organismo de supervisión interno del departamento de defensa en un nuevo informe.

el documento fechado el 10 de diciembre pero que no se hizo público hasta el viernes, resume ocho meses de investigación del sistema de defensa de misiles balísticos de la nación por parte de la oficina del inspector general del pentágono, o ig.

la auditoría examinó cinco de las 104 instalaciones del departamento de defensa que administran los sistemas de defensa de misiles balísticos e información técnica.

relacionado: putin desafiante: si eeuu construye misiles, moscú hará lo mismo

las instalaciones no están identificadas en el informe de 44 páginas que incluye largas partes tachadas. pero el documento hace numerosas referencias específicas a programas que involucran al ejército, la marina y la agencia de defensa de misiles (mda).

"el ejército, la marina y la mda no protegieron las redes y sistemas que procesan, almacenan y transmiten información técnica [de misiles balísticos de defensa] del acceso y uso no autorizados", concluye el informe desclasificado.

las deficiencias podrían llevar a la divulgación de "detalles críticos que comprometen la integridad, la confidencialidad y la disponibilidad de la información técnica [de misiles balísticos de defensa]", señala. dos veces advierte que dicha divulgación "podría permitir a los adversarios de los estados unidos eludir las capacidades [de misiles balísticos de defensa, dejando a estados unidos vulnerable a ataques mortales de misiles".

la auditoría encontró fallas en al menos tres de los siete factores de seguridad bajo revisión en las cinco instalaciones.

tal vez lo más preocupante, la auditoría encontró que los administradores de red en tres de las cinco instalaciones no estaban al tanto de las vulnerabilidades conocidas en las redes clasificadas, incluso aquellas que fueron identificadas como inmediatas y potencialmente graves por el ciber comando de estados unidos.

una vulnerabilidad señalada como crítica ya en 1990 aún no había sido abordada cuando la oficina del ig la revisó en abril, según la auditoría. las posibles consecuencias de explotar esa vulnerabilidad se tacharon en el informe.

algunas de las instalaciones no lograron implementar medidas de seguridad cibernética extremadamente básicas, como instalar cámaras de seguridad para controlar quién entra y sale de las instalaciones que mantienen la información de los misiles balísticos de defensa, o asegurarse de que el acceso a los servidores informáticos que distribuyen información clasificada se restringe solo a las personas que tenía una razón aprobada y autorización para trabajar con ellos, según la auditoría.

en algunos casos, ni siquiera había cerraduras en las puertas de las habitaciones que albergan los servidores, encontró el informe. en otros, las salas de servidores pueden haber estado cerradas, pero las llaves de las cerraduras se guardaban en archivados sin llave.

el administrador del centro de datos en una de las instalaciones dijo a los investigadores que no sabía que las parrillas de los servidores y las llaves del servidor debían estar protegidos, según el informe.

los investigadores también encontraron que a los empleados y contratistas se les permitía llevar datos clasificados en medios extraíbles como unidades de memoria usb sin la debida autorización. así es como se cree que edward snowden, entonces contratista de la agencia de seguridad nacional, robó miles de secretos gubernamentales extraordinariamente sensibles en 2013.

a pesar de las regulaciones que exigen que incluso la información confidencial no clasificada transportada en medios extraíbles debe estar cifrada, "menos del 1 por ciento de la información no clasificada controlada almacenada en medios extraíbles" se cifró en dos de las cinco instalaciones, según el informe.

el documento indicó que el gerente de seguridad de una de las instalaciones dijo a los investigadores que el cifrado no se aplicaba porque las instalaciones utilizaban "sistemas heredados" (lenguaje de computadora para hardware y software antiguos y obsoletos) que no podían manejar el cifrado, que cualquier computadora que se compra hoy en día puede manejar con facilidad.

otros funcionarios "declararon que no tenían conocimiento de un requisito o una capacidad para cifrar medios extraíbles", dijo.

tales fallos básicos significan que los sistemas que almacenan, procesan y transmiten datos técnicos de misiles balísticos de defensa "son vulnerables a ataques cibernéticos, violaciones de datos, pérdida y manipulación de datos y divulgación no autorizada de información técnica", dijo la oficina del ig. y eso deja a estados unidos "vulnerable a los ataques con misiles que amenazan la seguridad de los ciudadanos estadounidenses y la infraestructura esencial".

la investigación fue ordenada por el congreso el año pasado después de que el vicealmirante de la marina j.d. syring, entonces director de la agencia de defensa de misiles, expresara su preocupación ante el congreso por la posible amenaza a la información de los misiles balísticos de defensa en abril de 2016.

una y otra vez, la auditoría encontró fallas de seguridad críticas que resultaron, en gran medida, en falta de juicio o conocimiento por parte de empleados y gerentes individuales.

eso concuerda con el testimonio de syring ante un subcomité de la cámara de representantes hace dos años y medio, cuando dijo que la agencia de defensa de misiles estaba trabajando arduamente para reforzar la ciberseguridad, específicamente en las áreas de "desempeño humano individual y responsabilidad".

el informe es solo el más reciente, pero se encuentra entre los más alarmantes entre una serie de hallazgos internos que se remontan a más de una década en el sentido de que la infraestructura de defensa de los estados unidos es profundamente vulnerable a los ataques cibernéticos.

el departamento de defensa reveló en 2011 que 24.000 archivos que contenían datos del pentágono fueron robados de una red de computadoras de la industria de la defensa en una sola intrusión, una de las mayores pérdidas de datos confidenciales del gobierno antes de snowden.

hace solo dos meses, la oficina de responsabilidad del gobierno descubrió que los programas de armas del departamento de defensa han tardado en proteger los sistemas que dependen de las redes informáticas y los programas, lo que los hace vulnerables a los ataques cibernéticos tanto dentro como fuera del país.

en un caso, dijo, "un equipo de prueba de dos personas tardó solo una hora en obtener acceso inicial a un sistema de armas y un día en obtener el control total del sistema que estaban poniendo a prueba".