Una mutación de un virus de computadora que paralizó sistemas computacionales alrededor del mundo la semana pasada muestra cuán vulnerables todavía son el gobierno de EE UU y su infraestructura electoral al hackeo ruso, dicen expertos en seguridad cibernética.
El virus se originó en Ucrania pero se transmitió a todo el mundo, incluso afectando hospitales en Pensilvania, los cuales fueron obligados a cancelar operaciones, y a la compañía holandesa de transporte marítimo mundial Maersk. Funcionarios ucranianos le echaron la culpa a Moscú. Algunos expertos en seguridad cibernética dijeron que el virus, derivado de un arsenal de herramientas de hackeo de la Agencia de Seguridad Nacional de EE UU que se filtraron en abril, en realidad era un ataque cibernético de un estado nación disfrazado como el trabajo de hackers independientes.
Pero el Presidente Donald Trump no parece estar listo para plantear el problema de las campañas y acciones de hackeo ruso para influir en la elección de EE UU cuando se reúna con el Presidente Vladimir Putin el viernes. Ello es preocupante, en especial porque el gobierno de EE UU todavía no está del todo protegido, dicen expertos.
“El hecho de que estas cosas cada vez más parezcan estar patrocinadas por un estado le pone los pelos totalmente de punta a cualquiera en el gobierno porque es aterrador”, dijo Simon Crosby, director ejecutivo de tecnología y cofundador de la compañía de software de seguridad Bromium, la cual desarrolla la seguridad para Windows 10 de Microsoft.
“Somos tremendamente vulnerables a esto, y todo gobierno debería estar asustado por ello porque es el equivalente de que armas nucleares estén en manos de terroristas”, dijo él.
Uno de los eslabones débiles en la cadena de seguridad cibernética de EE.UU. son los sistemas electorales operados estado por estado y sus contratistas, dijo él.
El mes pasado, un funcionario de Seguridad Nacional atestiguó ante el Congreso que 21 sistemas electorales estatales fueron blancos de ataques cibernéticos rusos. Un reporte de Bloomberg, citando fuentes con conocimiento directo de las investigaciones del gobierno sobre los ataques, da la cifra de 39.
Más detalles surgieron en un documento ultra secreto de la Agencia de Seguridad Nacional filtrado a The Intercept, el cual reveló que las acciones rusas de hackeo se enfocaron en compañías contratadas para proveer software electoral para el registro de votantes y censos de votantes registrados.
“Estas compañías son patéticas. Su software debería estar disponible como código abierto y debería ser auditado tremendamente por los profesionales mundiales de seguridad”, dijo Crosby.
No solo eso, además “¿conoces esos destructores que brillan de nuevos de la Armada de EE UU que se ven en las fotos?”, pregunta Crosby. “Usan Windows XP”, dijo él, señalando el sistema operativo de Windows que la compañía dejó de respaldar con actualizaciones en 2014.
Crosby promueve soluciones de seguridad como la suya: un sistema operativo computacional que abra cada aplicación en un ambiente virtual cercado, impidiendo que los virus que ataquen vulnerabilidades en cualquier parte del software se extiendan a otras partes del sistema.
Pero no todos van a actualizarse al software más reciente. Muchos departamentos de gobierno todavía usan software y sistemas tremendamente obsoletos. El año pasado, hubo un aumento de 40 por ciento en violaciones de datos gubernamentales, con 72 en sistemas gubernamentales estadounidenses.
En mayo, Trump emitió un decreto presidencial sobre seguridad cibernética el cual ordena a su gabinete a llevar a cabo una revisión de las defensas de seguridad cibernética de sus departamentos en un lapso de 90 días.
Pero ese decreto no cubre a los contratistas del gobierno, los estados, sus sistemas electorales o los contratistas estatales. “La única manera de llegar a ello es una cuestión contractual y una cuestión de diligencia”, dijo el abogado Scott Vernick, quien representa a compañías Fortune 500 en demandas que se enfocan en tecnología, privacidad y seguridad de datos. El decreto presidencial de Trump no menciona a los contratistas.
Se supone que las compañías que cumplen contratos con el gobierno deben apegarse a los estándares del Instituto Nacional de Estándares y Marco de Seguridad Cibernética de Tecnología. Pero es voluntario, y no lo hacen necesariamente. Y tampoco lo hacían los departamentos del gobierno hasta que el reciente decreto presidencial de Trump se los ordenó.
Hay cierta cantidad de cosas que estas “compañías deberían hacer para repeler estos ataques”, dijo Vernick. Ello incluye instruir a su personal a no abrir correos electrónicos sospechosos, siempre actualizar a la última versión de cada parte del software, y crear respaldos de todos sus datos. Pero no todos hacen eso aún.
Todo esto es parte de un problema más amplio, dijo Vernick. “El gobierno federal, pese a todo su dinero y esfuerzo, está pasando un momento muy difícil” para hacer seguros sus propios sistemas, ya no digamos los de sus contratistas. Y cuando las cosas pasan al nivel estatal, añade él, hay “gente menos sofisticada, con menos instrucción, dinero y políticas menos fuertes de adquisición”.
No está claro si el decreto presidencial de la administración de Trump sobre seguridad cibernética tendrá algún impacto, y si hará algo para hacer seguros los sistemas electorales estatales. Hasta ahora, 44 estados han rechazado las solicitudes de la comisión de integridad electoral de Trump de información de votantes mientras indaga fraude electoral.
Muchos expertos en seguridad cibernética, política exterior y funcionarios de inteligencia predicen que Rusia de nuevo tratará de interferir en las elecciones de media legislatura en 2018 y de nuevo en las elecciones presidenciales de 2020.
Lo que se necesita en todo el gobierno y sus contratistas es “el equivalente de las medidas por el error del año 2000”, insiste Crosby, refiriéndose a las medidas mundiales por el error Y2K en 1999.
“Ahora sabemos que un malware en manos de un estado nación apagará a todo un país. Dejemos de engañarnos nosotros mismos”, dijo él. “Necesitamos tener iniciativas nacionales más que enormes”.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek