Detalles íntimos de 18 millones de ciudadanos ‘hackeados’

Ciberatacantes obtuvieron acceso a documentos donde se revisan detalles íntimos de empleados y contratistas del gobierno norteamericano. Formularios SF-85 y SF-86 donde se recopila la historia de vida y resultados de pruebas de polígrafo de 18 millones de personas están ahora en manos de los hackers.

Un grupo de hackers adquirió información privada sobre trabajadores y contratistas del gobierno de Estados Unidos. Detalles recopilados desde 1985 entre los que están sus preferencias sexuales, resultados de pruebas de polígrafo y deudas, se encuentran en manos de atacantes que adquirieron una gran influencia sobre los empleados norteamericanos.

18 millones de empleados afectados

El caso más grave de pérdida de documentos en la historia del gobierno americano afectó a 18 millones de sus empleados y contratistas. De hecho, la agencia gubernamental atacada por los hackers fue precisamente la Oficina de Administración de Personal, OPM por su sigla en inglés, una agencia que, según su propia descripción, “trabaja en varios frentes para reclutar, retener y honrar trabajadores de clase mundial para servicio del pueblo norteamericano”.

Uno de esos frentes de trabajo de la OPM es verificar los antecedentes de empleados del gobierno y contratistas que buscan obtener acceso a puestos con altas exigencias de seguridad, explica un documento de dudas y respuestas del Servicio de Investigación del Congreso norteamericano, que puede leerse en Fas.org/sgp/crs/secrecy/R43216.pdf.

La OPM anunció el pasado 24 de junio que continúa mejorando la seguridad digital de sus sistemas. “Las actualizaciones más recientes incluyen la instalación de más ‘firewalls’ que nos permiten filtrar tráfico de red, restricción del acceso remoto a administradores de red, revisión de todas las conexiones y el despliegue de soluciones anti-malware para proteger y prevenir la instalación y ejecución de herramientas de cibercrimen que puedan comprometer nuestras redes”.

Todas estas medidas están orientadas a prevenir ataques futuros. Respecto a la fuga de documentos de los funcionarios, ya es demasiado tarde para actuar. Y hay una razón especial por la cual corregir los daños es extremadamente difícil en este caso.

¿Cuánto daño causó el ataque?

“Esto es peor que lo que sucedió con Edward Snowden”, afirmó un oficial anónimo del gobierno norteamericano en entrevista con la publicación The Daily Beast, “porque los programas gubernamentales en ejecución durante las filtraciones de Snowden pueden reformarse y reconstruirse. Pero el de la OPM es un ataque con resultados perpetuos. Es imposible reconstruir a la gente”.

Según las normas de contratación de personal militar y civil del gobierno norteamericano, los detalles íntimos de ciertos individuos que desean obtener permisos de seguridad deben ser recopilados y analizados para obtener un “concepto holístico sobre la persona”, que permita dar el visto bueno al individuo. Los datos a analizar son descritos como “información favorable o desfavorable, sobre el pasado y presente de la persona”, según el apéndice H, parte 154 del documento “Adjudicative Guidelines for Determining Eligibility for Access to Classified Information”.

Y esa es la información que ahora se encuentra en manos de los hackers que consiguieron violar el sistema de seguridad de la OPM.

Específicamente, la información incluye resultados de pruebas de polígrafo, un examen que puede ser increíblemente minucioso, y cuyas preguntas pueden ser profundamente personales, tocando temas sobre preferencias sexuales, fetiches y aberraciones, infidelidad, pasado judicial, consumo de drogas o alcohol, adicción al juego, y estado financiero de los solicitantes.

Encriptación: una solución, que el gobierno niega

Desde una perspectiva de seguridad, las medidas tomadas por la OPM son razonables; limitar el acceso a los recursos de la agencia ayuda a minimizar la posibilidad de que terminen en las manos equivocadas. De nuevo.

Pero es notable que la agencia no habla de una solución todavía más atractiva: utilizar encriptación de datos para que los recursos almacenados sean inservibles para cualquier atacante que tenga acceso a ellos, y no tenga la clave para descifrar los datos.

Sí: es posible que los atacantes consigan también las claves, pero de esta forma el acceso a los datos como tales ya no es suficiente. Un atacante que consiga acceso ilimitado obtendría mayormente información inservible. Sólo en la medida en que pueda adquirir las claves de desencriptación haría un daño real.

Pero el gobierno de Estados Unidos ha sido hasta ahora obstinado respecto a este tema, pues algunas de sus agencias afirman que la encriptación es una herramienta que da demasiado poder a los criminales, dándoles una herramienta para comunicarse de forma segura, sin que la policía pueda interceptar sus mensajes.

AGENCIA NORTEAMERICANA USA ‘PASSWORD’ COMO CONTRASEÑA

Según un reporte del New York Times algunos sistemas de la Agencia de Cobranza de Impuestos de Estados Unidos, IRS por su sigla en inglés, permiten establecer la palabra ‘password’ como la contraseña de acceso a su computador, junto con muchas otras palabras que se consideran contraseñas ‘extremadamente débiles’, y pueden ser descifradas por atacantes en menos de 1 segundo.

Por oposición, una contraseña ‘fuerte’, por ejemplo una frase con 3 o 4 palabras o una cadena de 16 caracteres alfanuméricos, puede requerir millones de millones de años para ser descifrada.

Mientras tanto, la Marina de Estados Unidos analiza la posibilidad de invertir $30 millones de dólares para mantener sus equipos funcionando con Windows XP, el sistema operativo más peligroso del mundo.

Otros reportes indican que la Comisión Regulatoria Nuclear del mismo país, encargada de regular silos con armas nucleares, hubiera dejado información crítica en discos de red no protegidos y perdido el rastro de computadores portátiles extraviados.

La incapacidad del gobierno norteamericano para segura sus propios recursos críticos y poner en práctica procedimientos que eviten la materialización de riesgos de seguridad es evidente, pero no ha sido impedimento para que algunas de sus agencias, como el FBI, se opongan a la popularización e implementación de sistemas de seguridad de la información como la encriptación de datos.

Es más, el FBI ha propuesto que todos los fabricantes de hardware y desarrolladores de software abran a propósito agujeros de seguridad en sus dispositivos y sistemas, y que entreguen las llaves de acceso a las agencias gubernamentales que se encargan de combatir el crimen.

El resultado de esta situación es, con toda probabilidad, que los criminales tendrían las llaves maestras de acceso en un lapso muy corto, y la información de todas las empresas y gobiernos del mundo quedaría expuesta a los criminales.

JUAN MARTÍNEZ MARTÍNEZ

Comentarios