Un organismo de control del gobierno de EE. UU. robó más de un gigabyte de datos personales aparentemente confidenciales de los sistemas en la nube del Departamento del Interior de EE. UU. La buena noticia: los datos eran falsos y formaban parte de una serie de pruebas para comprobar si la infraestructura de nube del Departamento era segura.
El experimento se detalla en un nuevo informe de la Procuraduría General del Departamento del Interior (OIG), publicado la semana pasada.
El objetivo del informe era probar la seguridad de la infraestructura en la nube del Departamento del Interior, así como su “solución de prevención de pérdida de datos”, software que se supone protege los datos más confidenciales del departamento de piratas informáticos maliciosos. Las pruebas se realizaron entre marzo de 2022 y junio de 2023, escribió la OIG en el informe.
El Departamento del Interior gestiona los terrenos federales, los parques nacionales y un presupuesto de miles de millones de dólares del país, y aloja una cantidad significativa de datos en la nube.
Según el informe, para comprobar si la infraestructura en la nube del Departamento del Interior era segura, la OIG utilizó una herramienta en línea llamada simulacro para crear datos personales falsos que “parecieran válidos para las herramientas de seguridad del Departamento”.
Luego, el equipo de la OIG utilizó una máquina virtual dentro del entorno de nube del Departamento para imitar a “un actor de amenazas sofisticado” dentro de su red, y posteriormente utilizó “técnicas bien conocidas y ampliamente documentadas para exfiltrar datos”.
“Utilizamos la máquina virtual tal como está y no instalamos ninguna herramienta, software o malware que facilitara la extracción de datos del sistema en cuestión”, se lee en el informe.
La OIG dijo que realizó más de 100 pruebas en una semana, monitoreando los “registros informáticos y sistemas de seguimiento de incidentes en tiempo real” del departamento de gobierno, y ninguna de sus pruebas fue detectada ni impedida por las defensas de ciberseguridad del departamento.
“Nuestras pruebas tuvieron éxito porque el Departamento no implementó medidas de seguridad capaces de prevenir o detectar técnicas bien conocidas y ampliamente utilizadas por actores maliciosos para robar datos confidenciales”, dice el informe de la OIG. “En los años que el sistema ha estado alojado en una nube, el Departamento nunca ha realizado las pruebas periódicas requeridas de los controles del sistema para proteger los datos confidenciales del acceso no autorizado”.
Ésa es la mala noticia: las debilidades de los sistemas y prácticas del Departamento “ponen en peligro [personal information] para decenas de miles de empleados federales en riesgo de acceso no autorizado”, se lee en el informe. La OIG también admitió que puede ser imposible impedir que “un adversario con buenos recursos” entre, pero con algunas mejoras, tal vez sea posible impedir que ese adversario extraiga los datos confidenciales.
Esta prueba de “violación de datos” se realizó en un entorno controlado por la OIG, y no por un sofisticado grupo de piratería gubernamental de China o Rusia. Esto le da al Departamento del Interior la oportunidad de mejorar sus sistemas y defensas, siguiendo una serie de recomendaciones enumeradas en el informe.
El año pasado, la OIG del Departamento del Interior construyó una plataforma personalizada para descifrar contraseñas valorada en 15.000 dólares como parte de un esfuerzo para someter a prueba las contraseñas de miles de empleados del departamento.