Un reporte interno del Pentágono reveló importantes fallos en la preservación de información valiosa del Sistema de Defensa de Misiles Balísticos (BMDS, por sus siglas en inglés) y propone realizar severas modificaciones para evitar que EE.UU. sea vulnerable en materia de seguridad virtual.
La auditoría, que fue publicada el pasado 10 de diciembre por la Oficina del Inspector General del Departamento de Defensa estadounidense, alerta que "los funcionarios no implementaron de manera consistente los controles y procesos de seguridad para proteger la información técnica del BMDS".
Según el informe, que había sido solicitado por el Congreso de aquel país, el acceso a la información digital del sistema no presenta grandes restricciones. Por citar un ejemplo, el texto destaca que la plataforma "no requiere una justificación por escrito como condición para obtener y elevar el ingreso al sistema para los usuarios".
Asimismo, señala que para acceder a la información técnica del BMDS tampoco se solicita "el uso de autenticación multifactor —un sistema que exige varios métodos para validar un registro—". Por otro lado, el relevamiento advierte que los uniformados no implementaron controles para limitar la entrada no autorizada a las instalaciones donde se encuentran los datos sensibles.
"El Pentágono no protegió las redes"
En resumen, la auditoría exhibe que los controles de seguridad aplicados para las redes del Pentágono que tienen contenidos del mecanismo antimisiles no habrían sido desarrollados de modo convincente al momento en que se hizo el análisis. Al mismo tiempo, "las vulnerabilidades de la red no se mitigaron de manera efectiva" y los 'racks' —grandes cajas metálicas donde se almacenan los servidores— no fueron debidamente asegurados, o por lo menos eso consideraron los auditores.
Por otra parte, la transferencia de datos tampoco habría recibido un monitoreo riguroso y "no se implementó la detección de intrusos ni los controles de prevención", según detalla el texto. El documento también hace hincapié en que el mayor riesgo del sistema que defiende a EE.UU. de misiles balísticos está en su "información técnica". Sobre ello, puntualiza que "el Ejército, la Armada y la Agencia de Defensa Antimisiles no protegieron las redes y sistemas que procesan, almacenan y transmiten aquellos datos del BMDS, de acceso y uso no autorizados".
- "Debilidades sistémicas" de empresas privadas
Vale repasar que esa nación norteamericana desarrolla su defensa junto a compañías privadas, contratadas especialmente para cumplir la tarea. Al respecto, el documento subraya que el 29 de marzo se emitió otro estudio de situación "sobre la efectividad de los controles de acceso lógicos y físicos", utilizados para proteger la información en las ubicaciones de las empresas contratistas de la Agencia de Defensa de Misiles (MDA).
Los resultados no fueron óptimos: "El informe identificó debilidades sistémicas en las ubicaciones de contratistas en relación con el acceso a la red, la administración de vulnerabilidades y la revisión de los registros de auditoría del sistema", dicen los inspectores.
Los cambios planteados
Con este panorama, los analistas proponen realizar una serie de modificaciones para resguardar la seguridad de la población estadounidense. Principalmente, el reporte plantea "la protección de datos en medios extraíbles" y aumentar "las capacidades en detección de intrusos". Asimismo, insisten en aplicar sistemas de ingreso con autenticación multifactor e instalar cámaras de seguridad para vigilar los movimientos del personal en instalaciones específicas del Pentágono vinculadas al control de misiles enemigos.
A su vez, aconsejan aumentar la seguridad en los servidores y el acceso a las redes, sobre todo aquellas que contengan datos sobre la defensa antibalística. Además, solicitan cifrar la información del sistema en medios extraíbles, monitorear el volumen de datos transferidos e identificar a las personas habilitadas para usar esta clase de mecanismos.
- Sin comentarios
De momento, las autoridades del Pentágono no brindaron declaraciones al respecto, aunque los realizadores del reporte instan a los directivos a emitir consideraciones sobre estos presuntos fallos y así resolverlos en el futuro. Cabe repasar que la cartera de Defensa desarrolla controles e informes periódicos sobre su funcionamiento interno, y desde hace cinco años que incluye al sistema antibalístico en aquellos análisis.
"Hay que mirar cuánto dinero pide el Pentágono para salvar la situación"
Desde una perspectiva extranjera, el secretario de la Cámara Argentina de Profesionales en Seguridad Integrada (CAPSI), Edgardo Glavinich, señala que "en ciberdefensa siempre existen vulnerabilidades", pero destaca que "en esa carrera China tuvo mejor visión y es el Estado el que controla su seguridad".
Sobre el reporte, el politólogo considera que su divulgación está vinculada a cuestiones de política doméstica, es decir, "a la interna que se mantiene con el presidente", Donald Trump. En efecto, aclara que "habría que seguir el hilo y mirar cuánto dinero pide el Pentágono para salvar la situación". Sobre ello, explica su lectura entre líneas: "Cada falla en seguridad o defensa que ha sido publicada, en Occidente ha repercutido en más presupuesto, y cuando fueron muy graves, en creación de agencias".
Y profundiza: "Siempre hay que partir de la idea de que un evento puede ser utilizado para reformar un sistema". Asimismo, concluye en que "si se consideran las tendencias históricas, esto termina en nuevas contrataciones, incremento económico o más fondos para algún programa específico".
Leandro Lutzky