Piratas informáticos podrían haber accedido a información de un programa antiterrorismo durante años
El Departamento de Seguridad Nacional almacenó datos confidenciales del programa de defensa de bioterrorismo de la nación en un sitio web inseguro, donde fue vulnerable a los ataques de piratas informáticos durante más de una década, según documentos gubernamentales revisados por The Times.
Los datos incluyeron las ubicaciones de al menos algunos sensores de aire de BioWatch, que están instalados en estaciones de metro y otras ubicaciones públicas en más de 30 ciudades de EE.UU y cuya tarea es detectar ántrax u otras armas biológicas en el aire, confirmaron funcionarios de Seguridad Nacional. También contiene los resultados de las pruebas de posibles patógenos, una lista de agentes biológicos que podrían detectarse y planes de respuesta que se implementarían en caso de un ataque.
Después de poner en peligro la privacidad de más de 147 millones de consumidores, Equifax está pagando sólo $4.75 por persona. Eso es básicamente una orden de Chicken McNuggets.
La información, alojada en un sitio web ‘punto org’ administrado por un contratista privado, se trasladó a un firewall seguro del gobierno federal, y el sitio fue dado de baja en mayo. Pero los funcionarios de Seguridad Nacional no saben si alguna vez algún hacker puede haber tenido acceso a los datos.
Los correos electrónicos internos de Seguridad Nacional y otros documentos muestran que el problema desencadenó un amargo enfrentamiento dentro del departamento sobre si mantener la información en el sitio web punto org representaba una amenaza para la seguridad nacional. Un ex gerente de seguridad de BioWatch presentó una denuncia, alegando que fue blanco de represalias luego de criticar la laxa seguridad del programa.
Facebook Inc. señaló el pasado jueves que dejó expuestas “cientos de millones” de contraseñas de usuarios al almacenarlas como texto sin formato, lo cual las hizo potencialmente visibles para los empleados de la compañía.
El sitio web compartía información entre funcionarios locales, estatales y federales. Era fácilmente identificable a través de motores de búsqueda online, pero se necesitaba un nombre de usuario y una contraseña para acceder a los datos confidenciales.
Una auditoría de seguridad realizada en enero de 2017 encontró vulnerabilidades “críticas” y de “alto riesgo”, incluido un cifrado débil, que hizo que el sitio web fuera “extremadamente propenso” a los ataques en línea. La auditoría concluyó que “no parece haber ningún monitoreo de protección del sitio”, según un informe de Seguridad Nacional que resume los hallazgos.
Un informe del inspector general publicado más tarde ese año señaló que la información confidencial había estado alojada en el portal BioWatch desde 2007 y era vulnerable a los piratas informáticos. En el documento se recomendó mover los datos y protegerlos con un cortafuegos del gobierno, se destacó que los funcionarios de Seguridad Nacional habían acordado hacerlo.
ransomware golpea a computadoras y redes en ciudades a través de Texas
No está claro cuán valiosos hubieran sido los datos para un grupo terrorista o estado enemigo. Los científicos han advertido que la tecnología BioWatch no es confiable. El sistema reconoce sólo un estrecho rango de microbios y le cuesta diferenciar las bacterias ambientales típicas de las amenazas peligrosas.
Aún así, varios expertos en biodefensa consideraron como inquietante que los funcionarios de Seguridad Nacional fallaran en proteger adecuadamente la información confidencial de uno de los programas antiterroristas de la nación. “Anunciar tus vulnerabilidades nunca es bueno. Permitir que sus adversarios accedan fácilmente a esas vulnerabilidades es un riesgo de seguridad nacional, a mi juicio”, dijo Tom Ridge, quien como primer secretario de Seguridad Nacional del país supervisó el lanzamiento de BioWatch, en 2003, pero desde entonces ha denunciado que el programa no es efectivo. “Todo ciudadano estadounidense se preguntaría: ‘¿Qué otras cosas son de tan fácil acceso para el resto del mundo?’”.
James F. McDonnell, secretario asistente designado por el presidente Trump para supervisar la nueva Oficina de Lucha contra las Armas de Destrucción Masiva, perteneciente a Seguridad Nacional, que incluye BioWatch, expuso que los datos almacenados fuera del firewall protegido del gobierno no eran lo suficientemente importantes como para causar una amenaza a la seguridad nacional, aunque añadió que los funcionarios han tomado medidas para fortalecer la ciberseguridad en todo el departamento. Agregó también que el problema era anterior a su mandato. “Lo que sucedió antes, ya ocurrió. No puedes volver a poner al genio en la botella”, dijo. “Ha habido un aumento real de las preocupaciones sobre la ciberseguridad”.
Una larga lista de problemas
Las cuestiones de seguridad se suman a una larga lista de problemas para BioWatch.
El programa, que costó a los contribuyentes más de $1.600 millones, se lanzó dos años después de que las cartas con esporas de ántrax mataran a cinco personas y enfermaran a otras 17, poco después de los ataques terroristas del 11 de septiembre de 2001. BioWatch se convirtió en parte de la Oficina de Asuntos de Salud de Seguridad Nacional en 2007.
Una investigación del Times de 2012 identificó serias deficiencias, incluidas falsas alarmas y dudas sobre si se podía confiar en BioWatch para identificar un evento de bioterrorismo. En 2015, un estudio de la Oficina de Responsabilidad del Gobierno concluyó que no se podía contar con el programa para detectar un ataque y remarcó que BioWatch había generado 149 falsas alarmas entre 2003 y 2014.
Cada día, los trabajadores de salud pública de todo el país recolectan filtros de las muestras de aire y realizan pruebas del contenido, buscando signos de patógenos peligrosos en el aire. En algunos casos, los informes de hallazgos sospechosos se cargan en el portal BioWatch, para que sean revisados por otros funcionarios.
Según el informe del inspector general, algunos empleados locales se opusieron a almacenar estos y otros documentos confidenciales en un servidor federal al que otros funcionarios gubernamentales podrían acceder sin su conocimiento o consentimiento. Como resultado, según el informe, la Oficina de Asuntos de Salud decidió no mover el portal dentro del firewall del Departamento de Seguridad Nacional.
Alarmas por la seguridad
En agosto de 2016, Harry Jackson, quien trabajaba para una rama de Seguridad Nacional que se ocupa de la seguridad de la información, fue asignado al programa BioWatch. Tres meses después, aseveró en una entrevista con The Times, se enteró del biowatchportal.org y exigió a la agencia que dejara de usarlo, argumentando que albergaba información clasificada y que las medidas de seguridad del sitio eran inadecuadas.
Otros dos funcionarios del departamento encargados de monitorear cómo se maneja la información confidencial se hicieron eco de las preocupaciones en los correos electrónicos enviados a los gerentes de BioWatch, según los registros revisados por The Times.
Los funcionarios lo desestimaron. Michael Walter, líder del programa, afirmó en una conferencia telefónica que realizó con otros funcionarios de Seguridad Nacional que la información sobre la ubicación de las estaciones aéreas de la red no socavaría su efectividad, ya que había sido diseñada para detectar un ataque biológico masivo. Las estaciones están a la vista, dijo, según una grabación de la llamada realizada por Jackson y revisada por The Times.
Larry “Dave” Fluty, entonces subsecretario adjunto principal de Asuntos de Salud, argumentó durante la misma llamada que la agencia había decidido previamente que tratar la información como clasificada -y por lo tanto impartir pautas de acceso más estrictas- requeriría autorizaciones de seguridad para unos 1.000 funcionarios locales que participan en la recopilación y el análisis de datos de las unidades de recolección de aire. “Se determinó desde el punto de vista de las políticas que eso no podía suceder”, dijo.
Semanas después de la conferencia telefónica, Steven Lynch, entonces jefe de la división de programas especiales de seguridad de Seguridad Nacional, escribió en un memorando revisado por The Times que la agencia planeaba mover el portal a un sitio ‘punto gov’, con un firewall federal seguro. Aún así, consideró, los expertos concluyeron que “no había evidencia de actividad criminal o sospechosa” que involucrara al portal anterior y “un riesgo mínimo o nulo de acceso no autorizado”.
Pero una queja presentada a la línea directa del inspector general ya había desatado una auditoría interna de biowatchportal.org.
La inspección habló de 41 vulnerabilidades, y un escaneo detectó el posible intento de un pirata informático de acceder al portal. El equipo de auditoría no pudo validar el hallazgo, y recomendó que el contratista que supervisa el sitio investigara. No está claro si eso se hizo.
El contratista, Logistics Management Institute, se negó a hacer comentarios. Walter, Fluty y Lynch no respondieron a correos electrónicos o llamadas telefónicas de The Times.
‘Seguridad Nacional nunca lo sabrá’
En enero de 2017, Jackson publicó sus preocupaciones sobre el portal en el Journal of Bioterrorism & Biodefense. Su artículo detallaba lo que él llamó una seguridad “negligente”, que sólo requería autenticación de factor único para acceder al sitio web.
Funcionarios del Departamento de Seguridad Nacional eliminaron BioWatch de la cartera de Jackson, luego suspendieron su autorización de seguridad y lo pusieron bajo licencia administrativa. Le notificaron que no había solicitado la aprobación adecuada para publicar su artículo y que este incluía información que no debería haberse hecho pública. También citaron una reciente condena por conducir ebrio.
Jackson presentó denuncias ante varias agencias federales, alegando que era víctima de represalias por criticar la seguridad del programa. En una, escribió que un pirata informático exitoso podía “monitorear el sistema, manipular datos y crear marcas falsas para replantear la respuesta federal, estatal y local a un posible incidente”.
La queja continuaba: “Hasta la fecha, Seguridad Nacional nunca sabrá el daño que ha resultado de esto porque no hay capacidad para detectar intrusos”.
El informe del inspector general, publicado más tarde ese año, precisó que no se encontró información clasificada en el portal BioWatch, pero confirmó que “vulnerabilidades críticas y de alto riesgo” podrían permitir que un atacante acceda a datos confidencial en el sitio.
En octubre de 2017, Seguridad Nacional restableció la autorización de seguridad de Jackson, pero le emitió una advertencia. Una carta notificándole que la decisión no abordaba su reclamo de denunciante. Abandonó la agencia unas semanas después.
Ninguna agencia federal aceptó investigar las denuncias de Jackson. En mayo, presentó una apelación ante la Oficina del Inspector General de la Comunidad de Inteligencia. Al día de hoy, sigue esperando una respuesta.
Para leer esta nota en inglés haga clic aquí
Suscríbase al Kiosco Digital
Encuentre noticias sobre su comunidad, entretenimiento, eventos locales y todo lo que desea saber del mundo del deporte y de sus equipos preferidos.
Ocasionalmente, puede recibir contenido promocional del Los Angeles Times en Español.
