MJTruth
¡Maldita sea! 👀
(1)🚨 El Pentágono está utilizando, sin saberlo, ingenieros chinos en China para el mantenimiento de los sistemas informáticos del Departamento de Defensa de EE. UU.
- El modelo de "escolta digital" de Microsoft, diseñado para supervisar a estos ingenieros chinos, suele estar compuesto por exmilitares con salario mínimo y muy poca experiencia en programación.
- Una investigación de ProPublica reveló que la dirección del Pentágono parece DESCONOCER TOTALMENTE este acuerdo, a pesar de las afirmaciones de Microsoft al respecto.
- Los sistemas gestionados por estos ingenieros manejan datos extremadamente sensibles, lo que podría exponer a EE. UU. a ciberamenazas de China, nuestro mayor adversario cibernético.
- El gobierno estadounidense reconoce el catastrófico impacto potencial de las filtraciones de datos, pero sigue confiando en esta configuración vulnerable.
- Los datos expuestos a los ingenieros chinos podrían tener "efectos adversos catastróficos en las operaciones y las personas".
- Hackeos anteriores de China a los sistemas de Microsoft han comprometido a 22 organizaciones, incluyendo el robo de 60.000 correos electrónicos del Departamento de Estado.
- Un informe de la junta de revisión de ciberseguridad de 2024 destacó las vulnerabilidades persistentes en los sistemas de Microsoft, mostrando una clara preocupación por la seguridad nacional.
¿Qué podría salir mal?
(1) Un programa poco conocido de Microsoft podría exponer al Departamento de Defensa a piratas informáticos chinos
Microsoft está empleando ingenieros en China para ayudar a mantener los sistemas informáticos del Departamento de Defensa, con mínima supervisión por parte de personal estadounidense, lo que deja algunos de los datos más sensibles del país vulnerables al hackeo de su principal adversario cibernético, según una investigación de ProPublica.
El acuerdo, que fue crucial para que Microsoft obtuviera el negocio de computación en la nube del gobierno federal hace una década, depende de ciudadanos estadounidenses con autorizaciones de seguridad para supervisar el trabajo y servir como barrera contra el espionaje y el sabotaje.
Sin embargo, estos trabajadores, conocidos como "escoltas digitales", a menudo carecen de la experiencia técnica necesaria para supervisar a ingenieros extranjeros con habilidades mucho más avanzadas, según descubrió ProPublica. Algunos son exmilitares con poca experiencia en programación a quienes se les paga apenas por encima del salario mínimo por el trabajo.
"Confiamos en que lo que están haciendo no sea malicioso, pero realmente no podemos asegurarlo", dijo un escolta actual que aceptó hablar bajo condición de anonimato por temor a repercusiones profesionales.
El sistema lleva casi una década en funcionamiento, aunque su existencia se informa públicamente aquí por primera vez.
Microsoft declaró a ProPublica que ha revelado detalles sobre el modelo de escolta al gobierno federal. Sin embargo, exfuncionarios del gobierno afirmaron en entrevistas que nunca habían oído hablar de las escoltas digitales. El programa parece ser tan discreto que incluso la agencia de TI del Departamento de Defensa tuvo dificultades para encontrar a alguien familiarizado con él. "Literalmente, nadie parece saber nada al respecto, así que no sé qué hacer", declaró Deven King, portavoz de la Agencia de Sistemas de Información de Defensa.
Expertos en seguridad nacional y ciberseguridad contactados por ProPublica también se sorprendieron al descubrir la existencia de dicho acuerdo, especialmente en un momento en que la comunidad de inteligencia estadounidense, destacados miembros del Congreso y la administración Trump consideran la destreza digital de China como una de las principales amenazas para el país.
La Oficina del Director de Inteligencia Nacional ha calificado a China como la "ciberamenaza más activa y persistente para el gobierno estadounidense, el sector privado y las redes de infraestructura crítica". Uno de los ejemplos más destacados de esta amenaza se produjo en 2023, cuando hackers chinos se infiltraron en los buzones de correo en la nube de altos funcionarios del gobierno estadounidense, robando datos y correos electrónicos del secretario de Comercio, del embajador estadounidense en China y de otras personas que trabajan en asuntos de seguridad nacional. Los intrusos descargaron unos 60.000 correos electrónicos solo del Departamento de Estado.
Con el presidente Donald Trump y sus aliados preocupados por el espionaje, el Departamento de Estado anunció en mayo planes para "revocar agresivamente las visas de los estudiantes chinos", una promesa de la que el presidente parece haberse retractado. El gobierno también está intentando gestionar la venta de la popular plataforma de redes sociales TikTok, propiedad de una empresa china que, según algunos legisladores, podría entregar datos confidenciales de usuarios estadounidenses a Pekín y fomentar la desinformación con sus recomendaciones de contenido. Sin embargo, expertos declararon a ProPublica que el escolta digital representa una amenaza mucho mayor para la seguridad nacional que cualquiera de esos problemas y constituye una oportunidad natural para los espías.
“Si yo fuera un agente, lo consideraría una vía de acceso extremadamente valiosa. Debemos estar muy preocupados por eso”, dijo Harry Coker, quien fue un alto ejecutivo de la CIA y la Agencia de Seguridad Nacional. Coker, quien también fue director nacional de ciberseguridad durante la administración Biden, agregó que a él y a sus antiguos colegas de la comunidad de inteligencia “les encantaría haber tenido un acceso así”.
Es difícil saber si los ingenieros supervisados por escoltas digitales han llevado a cabo alguna vez un ciberataque contra el gobierno estadounidense. Sin embargo, Coker se preguntó si esto "podría explicar en parte muchos de los desafíos que hemos enfrentado a lo largo de los años".
Microsoft utiliza el sistema de escolta para gestionar la información más sensible del gobierno, que no está clasificada como "clasificada". Según el gobierno, esta categoría de "alto nivel de impacto" incluye "datos que implican la protección de vidas y la ruina financiera". Se podría esperar que la "pérdida de confidencialidad, integridad o disponibilidad" de esta información "tenga un efecto adverso grave o catastrófico" en las operaciones, los activos y las personas, según ha declarado el gobierno. En el Departamento de Defensa, los datos se clasifican como "Nivel de Impacto" 4 y 5 e incluyen materiales que apoyan directamente las operaciones militares.
John Sherman, quien fue director de información del Departamento de Defensa durante la administración Biden, se mostró sorprendido y preocupado al enterarse de los hallazgos de ProPublica. "Probablemente debería haberlo sabido", afirmó. Informó a la organización de noticias que la situación amerita una "revisión exhaustiva por parte de la DISA, el Comando Cibernético y otras partes interesadas involucradas".
En un comunicado enviado por correo electrónico, la Agencia de Sistemas de Información de Defensa (DISA) afirmó que los proveedores de servicios en la nube "deben establecer y mantener controles para la evaluación y el uso de especialistas cualificados", pero la agencia no respondió a las preguntas de ProPublica sobre la cualificación de los escoltas digitales.
No está claro si otros proveedores de servicios en la nube del gobierno federal utilizan escoltas digitales como parte de su soporte técnico. Amazon Web Services y Google Cloud se negaron a hacer comentarios para este artículo. Oracle no respondió a las solicitudes de comentarios.
Microsoft se negó a facilitar entrevistas a sus ejecutivos para este artículo. En respuesta a las preguntas enviadas por correo electrónico, la empresa emitió un comunicado en el que afirma que su personal y contratistas operan de manera "conforme a los requisitos y procesos del gobierno de Estados Unidos".
Los trabajadores globales "no tienen acceso directo a los datos ni a los sistemas de los clientes", según el comunicado. Los escoltas, con las autorizaciones y la capacitación adecuadas, brindan apoyo directo. Este personal recibe capacitación específica sobre la protección de datos confidenciales, la prevención de daños y el uso de comandos/controles específicos dentro del entorno. Además, Microsoft afirmó contar con un proceso de revisión interno conocido como "Lockbox" para "asegurarse de que la solicitud se considere segura o presente algún motivo de preocupación". Un portavoz de la compañía se negó a proporcionar detalles sobre su funcionamiento, pero afirmó que está integrado en el sistema e implica la revisión por parte de un empleado de Microsoft en EE. UU.
A lo largo de los años, varias personas involucradas en el trabajo, incluido un líder de ciberseguridad de Microsoft, advirtieron a la compañía que el acuerdo es inherentemente riesgoso, según informaron a ProPublica. A pesar de la presencia de un escolta, los ingenieros extranjeros tienen acceso a detalles granulares sobre la nube federal, el tipo de información que los hackers podrían explotar. Además, los escoltas estadounidenses que supervisan a estos trabajadores no están bien equipados para detectar actividades sospechosas, afirmaron dos de las personas.
Incluso quienes ayudaron a desarrollar el sistema de escoltas reconocen que quienes realizan el trabajo podrían no ser capaces de detectar problemas.
“Si alguien ejecutara un script llamado ‘fix_servers.sh’ pero en realidad hiciera algo malicioso, los escoltas no tendrían ni idea”, declaró Matthew Erickson, exingeniero de Microsoft que trabajó en el sistema de escoltas, a ProPublica en un correo electrónico. Dicho esto, sostuvo que el alcance de los sistemas que podrían interrumpir es limitado.
Un contratista de Microsoft llamado Insight Global publicó un anuncio en enero buscando un acompañante para llevar a ingenieros sin autorizaciones de seguridad al entorno seguro del gobierno federal y proteger la información confidencial y segura de filtraciones, un término de la industria para referirse a una fuga de datos. El salario inicial era de 18 dólares por hora.
Si bien el anuncio indicaba que ciertas habilidades técnicas eran altamente valoradas y deseables, el requisito principal era poseer una autorización de nivel "secreto" válida emitida por el Departamento de Defensa.
"La gente consigue estos trabajos porque tiene la autorización, no por ser ingenieros de software", dijo el acompañante, quien aceptó hablar de forma anónima y trabaja para Insight Global.
Cada mes, el equipo de acompañantes de la compañía, compuesto por aproximadamente 50 personas, gestiona cientos de interacciones con los ingenieros y desarrolladores de Microsoft con sede en China, ingresando las órdenes de esos trabajadores en las redes federales, según el empleado.
En una declaración a ProPublica, Insight Global afirmó que “evalúa las capacidades técnicas de cada recurso durante el proceso de entrevista para garantizar que posean las habilidades técnicas requeridas” para el puesto y brinda capacitación. La empresa señaló que los acompañantes también reciben capacitación adicional sobre ciberseguridad y “concienciación sobre amenazas internas” como parte del proceso de autorización de seguridad gubernamental.
“Si bien una autorización de seguridad puede ser necesaria para el puesto, es solo una pieza del rompecabezas”, declaró la empresa.
Microsoft no respondió a las preguntas sobre Insight Global.
“El camino de menor resistencia”
Cuando surgió la tecnología moderna de la nube en la década de 2000, ofreciendo potencia informática bajo demanda y almacenamiento de datos a través de internet, marcó el comienzo de cambios fundamentales en las operaciones del gobierno federal.
Durante décadas, los departamentos federales utilizaron servidores informáticos propiedad del propio gobierno y operados por este para almacenar datos y alimentar las redes. Migrar a la nube significó trasladar ese trabajo a enormes centros de datos externos administrados por empresas tecnológicas.
Los funcionarios federales creían que la nube proporcionaría mayor potencia, eficiencia y ahorro de costos. Pero la transición también significó que el gobierno cedería parte del control sobre quién mantenía y accedía a su información a empresas como Microsoft, cuyos empleados asumirían tareas que antes realizaban los trabajadores federales de TI.
Para abordar los riesgos de esta revolución, el gobierno puso en marcha en 2011 el Programa Federal de Gestión de Riesgos y Autorizaciones, conocido como FedRAMP. Bajo este programa, las empresas que deseaban vender sus servicios en la nube al gobierno debían establecer cómo garantizar que el personal que trabajaba con datos federales confidenciales contara con las "autorizaciones de acceso" y las verificaciones de antecedentes necesarias. Además, el Departamento de Defensa tenía sus propias directrices sobre la nube, que exigían que quienes manejaran datos confidenciales fueran ciudadanos estadounidenses o residentes permanentes.
Esto representaba un problema para Microsoft, dada su dependencia de una amplia plantilla global, con importantes operaciones en India, China y la Unión Europea. Por ello, la empresa contrató a un gerente sénior de programas llamado Indy Crowley para tranquilizar a los funcionarios federales. Conocido por su familiaridad con las reglas y su habilidad para conversar en la jerga gubernamental, cargada de siglas, sus colegas lo apodaron el "susurrador de FedRAMP".
En una entrevista, Crowley declaró a ProPublica que apeló directamente a la dirección de FedRAMP, argumentando que el riesgo relativo de la fuerza laboral global de Microsoft era mínimo. Para demostrarlo, comentó que en una ocasión interrogó a un funcionario de FedRAMP sobre la procedencia del código en productos suministrados por otros proveedores gubernamentales como IBM. El funcionario no pudo afirmar con certeza que solo ciudadanos estadounidenses hubieran trabajado en el producto en cuestión, afirmó. La nube, argumentó Crowley, no debería recibir un trato diferente.
Crowley afirmó que también se reunió con posibles clientes de todo el gobierno y le comentó a ProPublica que el Departamento de Defensa era el que "presentaba las mayores exigencias". Preocupados por la fuerza laboral global de la compañía, los funcionarios le preguntaron quién de Microsoft estaría "entre bastidores" trabajando en la nube. Dados los requisitos de ciudadanía del departamento, los funcionarios plantearon directamente la posibilidad de que Microsoft "contratara a un grupo de ciudadanos estadounidenses para mantener la nube federal", según declaró Crowley a ProPublica. Para Microsoft, la sugerencia era imposible, afirmó Crowley, ya que el aumento de los costos laborales para su implementación generalizada haría que la transición a la nube fuera prohibitivamente cara para el gobierno.
"Siempre se trata de un equilibrio entre el costo, el nivel de esfuerzo y la experiencia", declaró a ProPublica. "Así que se encuentra lo que es suficiente". Contratar acompañantes virtuales para supervisar a la fuerza laboral extranjera de Microsoft se presentó como "la vía más sencilla", afirmó Crowley.
Microsoft no respondió a las preguntas de ProPublica sobre el relato de Crowley.
Cuando volvió a plantear el concepto a Microsoft, los colegas tuvieron reacciones encontradas. Tom Keane, entonces vicepresidente corporativo de la plataforma en la nube de Microsoft, Azure, abrazó la idea, según un exempleado que participó en las conversaciones, ya que permitiría a la empresa expandirse. Sin embargo, este exempleado, que participaba en la estrategia de ciberseguridad, declaró a ProPublica que se oponían al concepto, considerándolo demasiado arriesgado desde el punto de vista de la seguridad. Tanto Keane como Crowley desestimaron las preocupaciones, según el exempleado, quien dejó la empresa antes de que se implementara el concepto de acompañante.
“Quienes obstaculizaron la expansión no se quedaron”, declaró el exempleado a ProPublica.
Crowley afirmó no recordar la conversación. Keane no respondió a las solicitudes de comentarios.
En su camino hacia convertirse en una de las empresas más valiosas del mundo, Microsoft ha priorizado repetidamente las ganancias corporativas sobre la seguridad del cliente, según ha descubierto ProPublica. El año pasado, la organización de noticias informó que el gigante tecnológico ignoró a uno de sus ingenieros cuando advirtió repetidamente que una falla en un producto dejaba al gobierno estadounidense expuesto; hackers rusos patrocinados por el estado explotaron posteriormente esa debilidad en uno de los ciberataques más grandes de la historia. Microsoft ha defendido su decisión de no abordar la falla, alegando que recibió “múltiples revisiones” y que la empresa considera diversos factores al tomar decisiones de seguridad.
Una brecha de habilidades desde el principio
La idea de un acompañante no era novedosa. El Instituto Nacional de Estándares y Tecnología (NITS), organismo regulador del gobierno federal, había establecido recomendaciones sobre cómo realizar el mantenimiento de TI in situ, por ejemplo, en una oficina gubernamental restringida. "El personal de mantenimiento que no cuente con las autorizaciones de seguridad adecuadas o que no sea ciudadano estadounidense" debe ser escoltado y supervisado por "personal de la organización autorizado, con todas las autorizaciones, las autorizaciones de acceso correspondientes y cualificado técnicamente", establecen las directrices.
En aquel momento, el gobierno especificó el propósito de la recomendación: denegar a "las personas que no cuenten con las autorizaciones de seguridad adecuadas... o que no sean ciudadanos estadounidenses, el acceso visual y electrónico a" información gubernamental confidencial.
Sin embargo, los escoltas en la nube no necesariamente podrían cumplir ese objetivo, dada la brecha de experiencia técnica entre ellos y sus homólogos de Microsoft, de quienes recibirían instrucciones.
Sin embargo, ese desequilibrio era inherente al modelo de escolta.
Erickson, el exingeniero de Microsoft que trabajó en el modelo, declaró a ProPublica que los escoltas son "algo competentes técnicamente", pero principalmente "simplemente están ahí para asegurarse de que los empleados no accedan accidental o intencionalmente" a contraseñas, datos de clientes o información personal identificable. "Si hay problemas con los servicios en la nube subyacentes, solo quienes trabajan en esos servicios en Microsoft tendrían los conocimientos necesarios para solucionarlos", afirmó.
Las amenazas avanzadas de adversarios extranjeros no estaban en la mira de Erickson, quien afirmó no tener "ningún motivo para sospechar más de alguien solo por su país de origen".
"No creo que exista ninguna amenaza adicional por parte de los empleados de Microsoft radicados en otros países", afirmó.
Pradeep Nair, exvicepresidente de Microsoft que afirmó haber contribuido al desarrollo del concepto desde el principio, afirmó que la estrategia de escolta digital permitió a la empresa "salir al mercado más rápido", lo que la posicionó para obtener importantes contratos federales de nube. Añadió que los escoltas "completan la capacitación específica de su función antes de acceder a cualquier sistema de producción" y que diversas medidas de seguridad, como los registros de auditoría y el registro digital de la actividad del sistema, podrían alertar a Microsoft o al gobierno sobre posibles problemas.
"Debido a que estos controles son estrictos, el riesgo residual es mínimo", afirmó Nair.
Sin embargo, expertos legales y en ciberseguridad afirman que tales suposiciones ignoraron la enorme ciberamenaza procedente de China, en particular. En la época en que Microsoft desarrollaba su estrategia de escolta, un ataque atribuido a hackers patrocinados por el estado chino provocó la mayor filtración de datos del gobierno estadounidense hasta ese momento. El robo se dirigió inicialmente a un contratista del gobierno y finalmente comprometió la información personal de más de 22 millones de personas, la mayoría solicitantes de autorizaciones de seguridad federales.
Las leyes chinas permiten a los funcionarios gubernamentales recopilar datos "siempre que realicen actividades que consideren legítimas", afirmó Jeremy Daum, investigador principal del Centro Paul Tsai China de la Facultad de Derecho de Yale. El soporte técnico que Microsoft presta al gobierno estadounidense desde China ofrece una oportunidad para el espionaje, "ya sea asignando a alguien que ya es un profesional de inteligencia a uno de esos puestos o contactando a quienes ya ocupan esos puestos y sonsacándoles información", añadió Daum. "Sería difícil para cualquier ciudadano o empresa china resistirse de forma significativa a una solicitud directa de las fuerzas de seguridad o las fuerzas del orden".
Erickson reconoció que contar con una escolta no impide que los desarrolladores extranjeros "hagan cosas 'malas'. Simplemente permite que haya una grabación y un testigo". Añadió que si una escolta sospecha de actividad maliciosa, finalizará la sesión y presentará un informe del incidente para investigar más a fondo.
No está claro cuánta información de esta información comprendieron los funcionarios federales.
Un portavoz de Microsoft afirmó que la compañía describió el modelo de acompañamiento digital en los documentos presentados al gobierno como parte de los procesos de autorización de proveedores de la nube. Sin embargo, se negó a proporcionar dichos registros ni a informar a ProPublica sobre el lenguaje exacto empleado para describir el acuerdo de acompañamiento, alegando el posible riesgo de seguridad que su divulgación pública supondría.
Además de un auditor externo, la documentación de Microsoft, en teoría, habría sido revisada por varias partes del gobierno, incluyendo FedRAMP y DISA. DISA afirmó que los materiales "no son accesibles al público". La Administración de Servicios Generales (GSA), que alberga a FedRAMP, no respondió a las solicitudes de comentarios.
¿Los "ojos adecuados" para el puesto?
En junio de 2016, Microsoft anunció que había recibido la autorización de FedRAMP para trabajar con algunos de los datos más sensibles del gobierno. Matt Goodrich, entonces director de FedRAMP, declaró en aquel momento que la acreditación era "una prueba de la capacidad de Microsoft para cumplir con los rigurosos requisitos de seguridad del gobierno".
Casi al mismo tiempo, Microsoft puso en práctica el concepto de escolta, contactando con el gigante de defensa Lockheed Martin para contratar escoltas en la nube, según informaron a ProPublica dos personas involucradas en el contrato.
Un gerente de proyecto, que pidió el anonimato para describir conversaciones confidenciales, declaró a ProPublica que desde el principio se mostraron escépticos sobre el acuerdo de escolta y que se lo comunicaron a su homólogo de Microsoft. Al gerente le preocupaba especialmente que los nuevos empleados no tuvieran la visión adecuada para el trabajo, dado el salario relativamente bajo establecido por Microsoft, pero el sistema se implementó de todos modos.
Lockheed Martin remitió las preguntas a Leidos, una empresa que adquirió el negocio de TI de Lockheed tras una fusión en 2016. Leidos declinó hacer comentarios.
A medida que Microsoft captaba más clientes del gobierno, la empresa recurrió a subcontratistas adicionales, generalmente empresas de personal, para contratar más escoltas digitales.
Al analizar perfiles en LinkedIn, ProPublica identificó al menos dos de estas empresas: Insight Global y ASM Research, cuya matriz es el gigante consultor Accenture. Si bien no está claro el alcance de los negocios de cada empresa con Microsoft, ProPublica encontró más trabajadores que se identifican como acompañantes digitales en Insight Global, muchos de ellos exmilitares, que en ASM. ASM y Accenture no respondieron a las solicitudes de comentarios.
Preocupaciones sobre China
Algunos trabajadores de Insight Global reconocieron el mismo problema que el exgerente de Lockheed: una disparidad de habilidades entre los escoltas con sede en EE. UU. y los ingenieros de Microsoft que supervisan. Los ingenieros podrían describir brevemente el trabajo a realizar; por ejemplo, actualizar un firewall, instalar una actualización para corregir un error o revisar los registros para solucionar un problema. Luego, con una inspección limitada, el escolta copia y pega las órdenes del ingeniero en la nube federal.
"Le están dando instrucciones muy técnicas a personas sin conocimientos técnicos", dijo el actual escolta de Insight Global, y agregó que este acuerdo presenta innumerables oportunidades de piratería. Por ejemplo, dijeron que el ingeniero podría instalar una actualización que permita a un tercero acceder a la red.
"¿Se detectará eso? Por supuesto", dijo el escolta a ProPublica. "¿Se detectará eso antes de que se produzcan daños? Ni idea".
El escolta estaba particularmente preocupado por las docenas de multas que los trabajadores con sede en China presentaban cada semana. El ataque contra funcionarios federales en 2023, en el que hackers chinos robaron 60.000 correos electrónicos, resaltó ese temor.
La Junta de Revisión de Ciberseguridad (CSRB), que investigó el ataque, culpó a Microsoft por las fallas de seguridad que dieron a los hackers una oportunidad. Su informe publicado no mencionó las escoltas digitales, ni como un factor en el ataque ni como un riesgo a mitigar. Sherman, exdirector de información del Departamento de Defensa, y Coker, exfuncionario de inteligencia, quienes también fueron miembros de la CSRB, declararon a ProPublica que no recordaban que la junta hubiera abordado nunca las escoltas digitales, que ahora consideran una amenaza importante. Desde entonces, la administración Trump ha disuelto la CSRB.
En su comunicado, Microsoft afirmó que espera que las escoltas "realicen diversas tareas técnicas", descritas en sus contratos con proveedores. Insight Global afirmó que evalúa a los posibles empleados para garantizar que posean esas habilidades y capacita a los nuevos empleados en "todas las políticas de seguridad y cumplimiento aplicables proporcionadas por Microsoft".
Sin embargo, el empleado de Insight Global declaró a ProPublica que el programa de capacitación no logra cerrar la brecha de conocimiento. Además, es difícil para los acompañantes adquirir experiencia en el trabajo debido a la gran variedad de tareas que supervisan. "No es posible capacitarse lo suficiente en la amplia gama de aspectos que se deben considerar", afirmó.
El acompañante afirmó haber expresado repetidamente su preocupación por la brecha de conocimiento a Microsoft, durante varios años y en abril, y a los propios abogados de Insight Global. Añadió que la relativa inexperiencia de los acompañantes digitales, sumada a las leyes chinas que otorgan a los funcionarios del país amplia autoridad para recopilar datos, dejó las redes del gobierno estadounidense demasiado expuestas. Microsoft agradeció repetidamente al acompañante por plantear los problemas, mientras que Insight Global afirmó que los tomaría en consideración, según el acompañante. No está claro si Microsoft o Insight Global tomaron alguna medida para abordarlos; ninguna de las dos compañías respondió a preguntas sobre la cuenta del acompañante.
En su comunicado, Microsoft afirmó que se reúne regularmente con sus contratistas "para discutir las operaciones y plantear preguntas o inquietudes". La compañía también señaló que cuenta con capas adicionales de "controles de seguridad y monitoreo", incluyendo "revisiones automatizadas de código para detectar y prevenir rápidamente la introducción de vulnerabilidades".
"Microsoft asume que cualquier persona que tenga acceso a los sistemas de producción, independientemente de su ubicación o rol, puede representar un riesgo para el sistema, ya sea intencional o involuntariamente", declaró la compañía en su comunicado.
Otra advertencia, un riesgo creciente
El año pasado, aproximadamente tres meses después de que los investigadores del gobierno publicaran su informe sobre el hackeo de 2023 a los correos electrónicos de funcionarios estadounidenses, un excontratista de Insight Global llamado Tom Schiller contactó con una línea directa del Departamento de Defensa y escribió a varios legisladores federales para advertirles sobre el escolta digital. Se había familiarizado con el sistema durante su breve trabajo como desarrollador de software para la empresa. Para julio del año pasado, las quejas de Schiller llegaron a la Oficina del Inspector General de la Agencia de Sistemas de Información de Defensa (DISA). Schiller declaró a ProPublica que la oficina le realizó una entrevista jurada a él y, por separado, a otras tres personas vinculadas a Insight Global. En agosto, el inspector general escribió a Schiller para comunicarle que había cerrado el caso.
“Realizamos un análisis preliminar de la queja y determinamos que este asunto no está dentro de las posibilidades de reparación del IG de la DISA y que es mejor que lo aborde la gerencia correspondiente de la DISA”, declaró el inspector general adjunto para investigaciones en la carta. “Hemos remitido la información que nos proporcionó a la gerencia”.
Un portavoz del inspector general, cuya oficina se supone que opera de forma independiente para investigar posibles despilfarro, fraude y abuso, declaró a ProPublica que no estaban autorizados a hablar sobre el asunto y remitió las preguntas al departamento de relaciones públicas de la DISA.
"Si la oficina de información pública se pone en contacto conmigo y desea colaborar para formular una respuesta a través de su oficina, con gusto lo haré", declaró el portavoz. "Pero no responderé a ninguna solicitud de los medios de comunicación sobre asuntos de la OIG sin consultar con la oficina de información pública".
El departamento de relaciones públicas de la DISA no respondió a preguntas sobre el asunto. Después de que un portavoz afirmara inicialmente no haber podido encontrar a nadie que conociera el concepto de escolta, la agencia reconoció posteriormente en un comunicado a ProPublica que las escoltas se utilizan "en entornos no clasificados selectos" en el Departamento de Defensa para el "diagnóstico y la resolución avanzados de problemas por parte de expertos de la industria". Haciéndose eco de la declaración de Microsoft, continuó: "Los expertos bajo la supervisión de escoltas no tienen acceso directo a los sistemas gubernamentales; en cambio, ofrecen orientación y recomendaciones a los administradores autorizados que realizan tareas".
No está claro qué conversaciones, si las hubo, se han llevado a cabo entre Microsoft, Insight Global y DISA, o cualquier otra agencia gubernamental, en relación con las escoltas digitales.
Pero David Mihelcic, exdirector de tecnología de DISA, afirmó que cualquier visibilidad en la red del Departamento de Defensa supone un "gran riesgo".
"Aquí tienes a una persona en la que realmente no confías porque probablemente pertenece al servicio de inteligencia chino, y la otra persona no es realmente capaz", declaró.
El riesgo podría agravarse día a día, a medida que las relaciones entre Estados Unidos y China se deterioran en medio de una guerra comercial latente; el tipo de conflicto que, según los expertos, podría derivar en ciberrepresalias chinas.
En su testimonio ante un comité del Senado en mayo, el presidente de Microsoft, Brad Smith, afirmó que la compañía está continuamente "expulsando a los chinos de las agencias". No dio más detalles sobre cómo entraron, y Microsoft no respondió a preguntas posteriores sobre esta afirmación.
No hay comentarios:
Publicar un comentario