Estados Unidos, “des-unidos” por los fallos de seguridad informática

No es un secreto que Estados Unidos está expuesto a ataques cibernéticos de cualquier procedencia, y cada vez más. Un informe que se encuentra actualmente en preparación y que fue solicitado por la Casa Blanca y que pueda confirmar la falta de “ciberseguridad” de las infraestructuras de los Estados Unidos llegará cómo agua de mayo; además de los fallos informáticos detectados en sectores clave, existe la percepción de que la situación general en todos los sectores de actividad es de vulnerabilidad. Pasen y vean.

En diez años, se han censado en los EEUU ciento veinticinco incidentes de seguridad en sistemas SCADA, sistemas que son utilizados en centrales nucleares, plantas de tratamiento de agua, plataformas petrolíferas y todo tipo de infraestructuras críticas. Los incidentes detectados van desde problemas locales y/o autónomos, hasta otros que agravan o se nutren de ataques desencadenados en otro lugar por empleados o consultores externos. Según el Summary Report #757 del Senado americano, hecho público el 20 de Marzo pasado, las consecuencias de este tipo de fallos pueden ser tanto materiales, medioambientales como humanas, según el testimonio de Mr. Keith Lourdeau, FBI Deputy Assistant Director, Cyber Division.

Sin ir más lejos, hace unas semanas un consultor informático en un proyecto de corta duración para una refinería de petróleo fue rechazado para un empleo fijo en la empresa consultora para la que trabajaba. Según la revista Wired del 18 de Marzo pasado y la District Court of California, se vengó dejando fuera de servicio un sistema destinado a la detección de fugas de las tuberías de conducción de crudo. Es más preocupante aun, si cabe, que la red eléctrica americana se vea comprometida en su funcionamiento por ataques cibernéticos; éstos habrían introducido virus en la red cuyas consecuencias potenciales serían muy graves, según indicaba Le temps.ch en su edición del 11 de abril del 2009. Según mencionó en el Wall Street Journal un ex-responsable del ministerio de la seguridad interior, los ataques “parecen generalizados en todos los EEUU y no están enfocados a una compañía o una región en particular”. Y a nadie se le escapa a estas alturas que estas brechas podrían convertirse en un arma en caso de conflicto geopolítico.

En la misma línea, en un informe reciente el Government Accountability Office (GAO) señalaba las graves carencias de la autoridad americana de vigilancia de mercados financieros, que no había tomado medidas de securización de sus sistemas de información. Aunque se imponían contraseñas complejas para los usuarios, el uso compartido de cuentas entre usuarios para utilizar una aplicación clave de la institución… ¡había sido autorizado! Por si eso fuese poco, la información y las comunicaciones de carácter confidencial de la institución no estaban cifradas, las contraseñas circulaban sin cifrar y la monitorización y vigilancia de los sistemas era insuficiente. Un informe anterior del GAO, probablemente olvidado en algún despacho debajo de un montón de papeles, ya apuntaba la necesidad de corregir tanto fallo, según recordaba el Network World el pasado 28 de febrero.

Las filtraciones de información, intencionadas o no, tampoco son escasas; un empleado de un proveedor del ministerio de defensa de los Estados Unidos distribuyó en Internet, sin saberlo, los planos del Marine One. La información secreta del helicóptero del presidente de los Estados Unidos se distribuyó mediante una red P2P, sin que el responsable de ello se percatase hasta algún tiempo después. Evidentemente, almacenar información confidencial o secreta en ordenadores conectados a Internet, y más en aquellos que contienen programas de intercambio de ficheros P2P, supone un factor adicional de riesgo de fugas.

En lo referente a ciberdemocracia y participación ciudadana, la seguridad de las máquinas para votar parece inexistente, tal y como vienen denunciando expertos como Bruce Schneier. Por una parte, el fabricante de las mismas, Diebold, admite la existencia de fallos de diseño, que quedaron demostrados no hace mucho. Por otra, un experto de la CIA ha afirmado, bajo juramento ante una comisión oficial, que ha observado fraudes electorales en los escrutinios venezolanos, así cómo en Macedonia y Ucrania.

Por si todo lo anterior no fuese suficiente, la propia policía de Nueva York también ha sido víctima de los ciber delincuentes, al haberles sido robado un soporte de información por parte de un empleado de los fondos de pensiones de esta institución, y por supuesto sin cifrar, conteniendo los nombres, direcciones, números de seguridad social y cuentas bancarias de los policías en activo y jubilados, según aparecía en el New York Post el pasado 4 de marzo. Cuesta entender este tipo de incidentes, cuando el cifrado de datos confidenciales se puede realizar sin grandes medios materiales, y sin la necesidad de utilizar software sofisticado o caro.

Todos estos ataques son llevados a la práctica en general sin demasiada dificultad: los administradores TIC piensan muy ocasionalmente en securizar y lanzar alertas a la nebulosa de ordenadores que gravitan alrededor de su red al respecto de la seguridad de la información y su transmisión, y se limitan a securizar su perímetro externo al mínimo. Por tanto, es suficiente para un hacker utilizar como vector de intrusión uno de sus contactos/clientes, que teniendo menos restringido su acceso por ser una parte confiable, puede alcanzar esos datos, o solicitar un acceso sin despertar sospechas. No por nada hay una ingente cantidad de robos de portátiles, siendo el objetivo del robo en muchos casos el disponer de acceso a la información del soporte y, si es posible, elevar los privilegios sobre la red de la empresa/institución atacada.

Como reflexión personal, no cabe otra que preguntarse por el caso español, ya que si en el país con mejor dotación del mundo en sistemas informáticos se cometen este tipo de barbaridades, en España existen lagunas, del tamaño de océanos en materia de seguridad de sistemas de información, ya sean militares, de salud, energía u otros. En lo referido a los ataques informáticos, pienso que hay que preocuparse en particular por aquellos que no se ven: si no son pocos los incidentes que conocemos, habrá que pensar en todos aquellos que han sido capaces de hacerlo sin haberse hecho notar, y que actualmente están en nuestros sistemas. El gran número de equipos infectados que forman parte de botnets no deja lugar a dudas.

Es necesario poner en marcha un amplio plan de formación en los diferentes sectores para concienciar de los riesgos de los ataques sobre los sistemas de información, mostrando la relevancia de fallos humanos, físicos y lógicos, y las consecuencias sobre redes y los puestos de trabajo. La diferencia entre los EEUU y nosotros, es que les llevamos al menos 20 años de retraso, y aún no nos hemos dado cuenta de que la seguridad es un aspecto vital para la defensa de nuestros intereses y un indicador de progreso, visto el papel cada día más importante que tiene la tecnología en nuestros días.

Comments

  1. Al post, deberemos añadir hoy, lunes, el caso de una agente del MI6, el servicio secreto británico, que ha puesto en riesgo todas las operaciones encubiertas contra el narcotráfico en Sudamérica al olvidarse información clasificada en un pendrive en un micro del aeropuerto de El Dorado, en Bogotá, según informó el diario británico The Times.

    Este error garrafal de dejarse el bolso en un micro costó millones de euros y puesto decenas de vidas en peligro al revelar una lista de nombres de agentes infiltrados y detalles de más de cinco años de labores de inteligencia. Los servicios secretos han tenido que cancelar varias operaciones y reubicar a decenas de agentes e informantes por miedo a que el dispositivo pudiera haber caído en manos de los narcotraficantes.

    El incidente ha tenido que ser maquillado por la Agencia para el Crimen Organizado Grave británica (SOCA), de la que dependía la agente responsable de la pérdida de los datos, y ha puesto en evidencia a la inteligencia británica. La propia Agencia confirmó este sábado la pérdida de estos datos, pero aseguró que el incidente ocurrió poco después de la creación de la SOCA, cuando “el personal aún trabajaba en la política de gestión de los datos de las agencias predecesoras”.

  2. Seria muy interesante que EEUU controle mejor la triple frontera entre Argentina Brasil y Paraguay.
    seria tambien interesante que controle la Provincia de Misiones sobretodo la zona que va desde puerto Rico Misiones Pto Mineral.Puerto Oasis.Pto.Naranjito II Gisella Menoquio,Santo Pipo.Polana.Roca Corpus San Ignasio,son muchos nombres pero pocos Kms.
    yo hablo de seguridad internacional vengan vean y actuen.Tambien pequeÑos pueblos como Jardin America
    Existen sobretodo en Jardin America expertos delincuentes o terroristas que enseÑan a los jovenes ,algunos profesores son abogados O.K
    La Policia de Jardin America sabe mucho y tambien los jueces o.k