Este ensayo fue escrito con Davi Ottenheimer y apareció originalmente en
Foreign Policy.
En el lapso de apenas unas semanas, el gobierno de Estados Unidos ha sufrido
lo que puede ser la violación de seguridad más importante de su historia, no a
través de un ciberataque sofisticado o un acto de espionaje extranjero, sino a
través de
órdenes oficiales de un multimillonario con un papel gubernamental mal
definido.
Y las implicaciones para la seguridad nacional de EE.UU. son profundas.
Primero, se informó que personas asociadas con el recién creado Departamento
de Eficiencia Gubernamental (DOGE)
habían accedido
al
sistema
informático
del
Tesoro de Estados Unidos, lo que les dio la capacidad de recopilar datos y potencialmente controlar
los aproximadamente
5,45 trillones de dólares
en pagos federales anuales del departamento.
Luego, nos enteramos de que personal no autorizado de DOGE había
obtenido acceso a datos clasificados
de la Agencia de Estados Unidos para el Desarrollo Internacional, posiblemente
copiándolos en sus propios sistemas. A continuación, se vio comprometida la
Oficina de Gestión de Personal, que contiene datos personales detallados de
millones de empleados federales, incluidos aquellos con autorizaciones de
seguridad. Después de eso,
se vieron comprometidos
los registros
de
Medicaid y Medicare.
Mientras tanto, sólo se enviaron nombres parcialmente censurados de
empleados de la CIA
a través de una cuenta de correo electrónico no clasificada. También se
informa que el personal de DOGE está alimentando datos del Departamento de
Educación en un software de inteligencia artificial, y también
han comenzado a trabajar
en el Departamento de Energía.
Esta historia avanza muy rápido. El 8 de febrero, un juez federal
impidió
que el equipo de DOGE accediera a los sistemas del Departamento del Tesoro.
Pero dado que los trabajadores de DOGE ya han copiado datos y posiblemente
instalado y modificado software, no está claro cómo esto solucionará algo.
En cualquier caso, es probable que se produzcan infracciones de otros sistemas
gubernamentales críticos a menos que los empleados federales se mantengan
firmes en los protocolos que protegen la seguridad nacional.
Los sistemas a los que DOGE está accediendo no son piezas esotéricas de la
infraestructura de nuestra nación:
son los nervios del gobierno.
Por ejemplo, los sistemas del Departamento del Tesoro contienen los planos
técnicos de cómo el gobierno federal mueve el dinero, mientras que la red de
la Oficina de Gestión de Personal (OPM) contiene información sobre quién y qué
organizaciones emplea y contrata el gobierno.
Lo que hace que esta situación sea inédita no es sólo el alcance, sino
también el método de «ataque».
Los adversarios extranjeros suelen pasar años intentando penetrar en sistemas
gubernamentales como estos, utilizando el sigilo para evitar ser vistos y
ocultando cuidadosamente cualquier indicio o pista. La violación de la
OPM
por parte del gobierno chino en 2015 fue un fallo de seguridad estadounidense
significativo, y ilustró cómo los datos personales pueden utilizarse para
identificar a los agentes de inteligencia y comprometer la seguridad nacional.
En este caso, operadores externos con
experiencia limitada
y mínima supervisión están haciendo su trabajo a plena vista y bajo un
escrutinio público masivo: obteniendo los más altos niveles de
acceso administrativo
y realizando cambios en las redes más sensibles de los Estados Unidos, lo
que podría introducir nuevas vulnerabilidades de seguridad en el proceso.
Pero el aspecto más alarmante no es sólo el acceso que se concede. Es el
desmantelamiento sistemático de las medidas de seguridad que detectarían y
evitarían el uso indebido (incluidos los protocolos estándar de respuesta a
incidentes, auditoría y mecanismos de seguimiento de cambios) eliminando a los
funcionarios de carrera a cargo de esas medidas de seguridad y
reemplazándolos por operadores inexpertos.
Los sistemas informáticos del Tesoro tienen tal impacto en la seguridad
nacional que fueron diseñados con el mismo principio que guía los protocolos
de lanzamiento nuclear: ninguna persona debe tener poder ilimitado.
Así como el lanzamiento de un misil nuclear requiere que dos oficiales
diferentes giren sus llaves simultáneamente, hacer cambios en sistemas
financieros críticos tradicionalmente requiere que múltiples personas
autorizadas trabajen en conjunto.
Este enfoque, conocido como «separación de funciones», no es sólo un trámite
burocrático; es un principio de seguridad fundamental tan antiguo como la
banca misma. Cuando su banco local procesa una transferencia grande, requiere
que dos empleados diferentes verifiquen la transacción. Cuando una empresa
emite un informe financiero importante, equipos separados deben revisarlo y
aprobarlo. No son sólo formalidades, son salvaguardas esenciales contra la
corrupción y el error. Estas medidas han sido
eludidas o ignoradas. Es como si alguien encontrara una manera de robar Fort Knox simplemente
declarando que la nueva política oficial es despedir a todos los guardias y
permitir visitas sin escolta a la bóveda.
Las implicaciones para la seguridad nacional
son asombrosas. El senador Ron Wyden dijo que su oficina se enteró de que
los «atacantes» obtuvieron privilegios
que les permiten modificar programas centrales en las computadoras del
Departamento del Tesoro que verifican los pagos federales, acceder a claves
encriptadas que protegen las transacciones financieras y alterar los registros
de auditoría que registran los cambios del sistema. En la OPM,
los informes indican que las
personas asociadas con DOGE conectaron un servidor no autorizado a la
red.
También se informa que están
entrenando software de inteligencia artificial
en todos los sistemas.
Esto es mucho más crítico que el acceso no autorizado inicial. Estos nuevos
servidores tienen capacidades y configuraciones desconocidas, y no hay
evidencia de que este nuevo código haya pasado por protocolos de prueba de
seguridad rigurosos. Las IA que se están entrenando ciertamente no son lo
suficientemente seguras para este tipo de datos. Todos son objetivos ideales
para cualquier adversario, extranjero o nacional, que también busque acceso a
datos federales.
Hay una razón por la que cada modificación (de hardware o software) a estos
sistemas pasa por un proceso de planificación complejo e incluye mecanismos de
control de acceso sofisticados. La crisis de seguridad nacional es que estos
sistemas ahora son mucho más vulnerables a ataques peligrosos al mismo tiempo
que los administradores de sistemas legítimos entrenados para protegerlos
han sido bloqueados.
Al modificar los sistemas centrales, los «atacantes» no solo han comprometido
las operaciones actuales, sino que también han dejado vulnerabilidades que
podrían explotarse en ataques futuros, lo que les da a adversarios como Rusia
y China una
oportunidad sin precedentes. Estos países han apuntado a estos sistemas durante mucho tiempo. Y no solo
quieren recopilar inteligencia, también quieren entender cómo interrumpir
estos sistemas en una crisis.
Ahora, los detalles técnicos de cómo funcionan estos sistemas, sus
protocolos de seguridad y sus vulnerabilidades están potencialmente
expuestos a partes desconocidas sin ninguna de las salvaguardas
habituales.
En lugar de tener que atravesar muros digitales fuertemente fortificados,
estas partes pueden simplemente atravesar puertas que están siendo dejadas
abiertas y luego borrar la evidencia de sus acciones.
Las implicaciones de seguridad abarcan tres áreas críticas.
La manipulación del sistema: los operadores externos ahora pueden
modificar las operaciones y al mismo tiempo alterar los registros de auditoría
que rastrearían sus cambios.
La exposición de datos: además de acceder a información personal y
registros de transacciones, estos operadores pueden copiar arquitecturas de
sistemas completos y configuraciones de seguridad; en un caso, el plano
técnico de la infraestructura de pagos federales del país.
El control del sistema: estos operadores pueden alterar los sistemas
centrales y los mecanismos de autenticación al mismo tiempo que deshabilitan
las mismas herramientas diseñadas para detectar tales cambios. Esto es más que
modificar las operaciones; es modificar la infraestructura que utilizan esas
operaciones.
Para abordar estas vulnerabilidades, son esenciales tres pasos inmediatos.
Primero, se debe revocar el acceso no autorizado y restablecer los protocolos
de autenticación adecuados. A continuación, se debe restablecer un control
integral del sistema y la gestión de cambios, lo que, dada la dificultad de
limpiar un sistema comprometido, probablemente requerirá un restablecimiento
completo del sistema. Por último, se deben realizar auditorías exhaustivas de
todos los cambios del sistema realizados durante este período.
Esto va más allá de la política: es una cuestión de seguridad nacional.
Las organizaciones de inteligencia nacionales extranjeras se apresurarán a
aprovechar tanto el caos como las nuevas inseguridades para robar datos
estadounidenses e instalar puertas traseras para permitir el acceso en el
futuro.
Cada día de acceso continuo sin restricciones hace que la recuperación final
sea más difícil y aumenta el riesgo de daños irreversibles a estos sistemas
críticos. Si bien puede llevar tiempo evaluar el impacto total, estos pasos
representan las acciones mínimas necesarias para comenzar a restaurar la
integridad del sistema y los protocolos de seguridad.
Suponiendo que a alguien en el gobierno todavía le importe.
Este ensayo fue escrito con Davi Ottenheimer y apareció originalmente en
Foreign Policy.