abril 20, 2021

El robo de las herramientas de piratería de la CIA destaca la seguridad «laxa» de la agencia de espionaje

Las agencias de inteligencia estadounidenses siguen careciendo de seguridad, años después de las filtraciones de datos de alto perfil por Edward Snowden, Chelsea Manning y Joshua Schulte, según un miembro del Comité de Inteligencia del Senado de los Estados Unidos. En una carta dirigida al Director Nacional de Inteligencia, John Ratcliffe, el senador Ron Wyden utiliza un informe interno de la CIA de 2017 para describir en detalle las formas en que la comunidad de inteligencia no se ha protegido continuamente.

«La comunidad de inteligencia aún se está quedando atrás y no ha adoptado ni siquiera las tecnologías de seguridad de la información más básicas que se usan comúnmente en otras partes del gobierno federal», escribió Wyden.

El informe, que se obtuvo en la forma escrita por el Washington Post, describe en detalle cómo la agencia favoreció la construcción de armas cibernéticas ofensivas mientras no pudo garantizar algunos de sus sistemas más importantes, un modelo que condujo al robo de Herramientas de pirateo de 2016 que luego fueron publicadas por WikiLeaks bajo el nombre de «Vault 7». Funcionarios estadounidenses dijeron que fue la mayor pérdida de datos en la historia de la CIA.

En su carta, Wyden afirma que las fallas están en curso, identificando tres brechas específicas como ejemplos y argumenta que el Congreso debería obligar a las agencias de inteligencia a estar sujetas a los requisitos federales de seguridad cibernética normales.

«Desafortunadamente, ahora está claro que eximir a la comunidad de inteligencia de los requisitos federales básicos de seguridad cibernética fue un error», escribió.

Una tormenta de escasez

El informe de la CIA de 2017 documenta un incidente en el que Wikileaks publicó más de 8,000 páginas de documentos de «Vault 7» que ofrecían una visión sin precedentes de la capacidad de la agencia para hackear varios sistemas operativos, teléfonos celulares y aplicaciones de mensajería. Schulte, ex empleado de la CIA, fue luego acusado y declarado no culpable de robar las herramientas de piratería y luego entregarlas a WikiLeaks para su publicación. En marzo, Schulte fue declarado culpable de insultar a la corte y hacer declaraciones falsas al FBI, pero el jurado del juicio permaneció estancado en el hecho de que había recopilado y transmitido ilegalmente información de defensa nacional. Después de la declaración de un mistral, Schulte se enfrenta a la posibilidad de un nuevo juicio.

El robo se dirigió a la unidad de piratería de élite de la CIA, conocida como el Centro de Inteligencia Cibernética, y el informe interno dice que la agencia nunca habría sabido sobre el robo de hasta 34 terabytes de datos si No había sido publicado. De hecho, la agencia admite que aún no conoce el alcance exacto de la pérdida porque los sistemas de misión afectados «no requirieron el monitoreo de actividades u otras garantías».

El informe dice que las armas cibernéticas estaban ampliamente abiertas para cualquier persona con acceso a la red de la misión y que la red carecía de capacidades normales de monitoreo y auditoría, una tormenta de «deficiencias» que llevó a que la seguridad cayera al final de la lista de prioridades .

«Si bien la CIA fue uno de los primeros líderes en proteger nuestro sistema de TI corporativo, no pudimos corregir vulnerabilidades agudas», dijo el informe. «Las prácticas de seguridad diarias se habían vuelto dolorosamente relajadas».

La CIA no respondió a una solicitud de comentarios.

Problemas de seguridad

Los comentarios muestran que incluso algunos de los hackers ofensivos mejor financiados y mejor capacitados del mundo luchan poderosamente en defensa.

Para las agencias de espionaje de EE. UU., La última década ha sido marcada por múltiples violaciones de datos de alto perfil seguidas de repetidos llamados a un cambio sistemático en la seguridad cibernética. Las agencias de espionaje como la CIA y la Agencia de Seguridad Nacional habían estado exentas de las reglas impuestas por el Congreso al resto del gobierno federal con la esperanza de que pudieran superar fácilmente estos estándares. No sucedió

De hecho, un organismo de control de la comunidad de inteligencia de EE. UU. Publicó un informe en 2019 instando a las agencias a mejorar sus controles sobre el material clasificado, particularmente contra el tipo de amenazas internas que han marcado la última década, incluida la La pérdida de Edward Snowden de documentos de la NSA y la pérdida de anuncios de Manning de documentos estadounidenses relacionados con la guerra de Irak.

Entre los problemas destacados por Wyden está la falta de adopción por parte de la comunidad de inteligencia de DMARC, un protocolo de autenticación de correo electrónico que protege contra ataques de phishing muy comunes y efectivos, a pesar de una directiva de 2017 que impone agencias federales para hacerlo.

Mientras tanto, las agencias de inteligencia aún tienen que proteger los dominios .gov con autenticación de múltiples factores, a pesar de una advertencia en enero de 2019 del Departamento de Seguridad Interna de que el sistema ha sido atacado por piratas informáticos iraníes.

Un informe del inspector general de la comunidad de inteligencia publicado en 2019 concluyó que 20 recomendaciones de seguridad siguen sin ser abordadas por las agencias, pero siguen clasificadas.

Si hay una pizca de buenas noticias para la CIA en el informe, es que el grupo de trabajo interno ha evaluado que la «carpeta dorada» de los archivos más sensibles de la agencia, incluidas todas las herramientas de piratería y el código fuente , no fue robado de una protección más fuerte y el hecho de que era demasiado grande para ser fácilmente exportado.

El director de Inteligencia Nacional recibió la carta de Wyden y actualmente está trabajando en una respuesta, pero en última instancia, depende del Congreso decidir si las agencias de inteligencia estadounidenses necesitan nuevas reglas para traer los mismos estándares de seguridad cibernética que el resto del gobierno federal. .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *