La deficiente seguridad informática en el ejército norteamericano

El organismo responsable de la realización de auditorías en el ejército de los Estados Unidos publicó a mediados del pasado mes de febrero un informe, «Select Controls for the Information Security of the Ground-based Midcourse Defense Communications Network», donde se analizaban los sistemas informáticos responsables del control de la defensa terrestre. Entre los elementos controlados se encuentran las bases de lanzamientos de misiles tierra-aire y los centros de mando.

Esta auditoría ha desvelado unos datos realmente escandalosos. Si hoy en día ya es grave detectar la ausencia de procedimientos o normativas referentes a la seguridad informática en organizaciones de todo tipo, detectar este tipo de incumplimiento en centros tan sensibles y donde cualquier error o ataque puede llegar a tener resultados fatales debería, sin duda, hacernos reflexionar.

La auditoría revela como algunas de las empresas subcontratadas por el gobierno norteamericano, Boeing y MDA, que tenían responsabilidad directa sobre las comunicaciones y los sistemas informáticos llevan repetidamente saltándose las normas más básicas de seguridad.

Posiblemente la carencia más destacada es la utilización de contraseñas compartidas que, además, se transmitían a través de enlaces no cifrados ni protegidos. La interceptación de estas contraseñas hubiera podido comprometer la seguridad global del sistema. Adicionalmente la red no se encontraba monitorizada dado que, según las empresas subcontratadas, la monitorización no era un requisito en el contrato.

Los problemas no acaban aquí: no existía gestión de las cuentas de usuarios llegando al extremo que cualquier administrador de sistemas disponía de la capacidad de crear nuevas cuentas de usuario, asignándole los permisos que se le antojaran… sin que quedara constancia o se pudiera detectar la creación de estas cuentas.

Todas estas deficiencias se agravan aún más al conocer las dimensiones de la red: más de 320.000 kilómetros de fibra óptica repartidos entre 30 estados y con miles de sistemas informáticos conectados. En una red de esta magnitud, la falta de rigurosos procedimientos de seguridad tiene como resultado que la seguridad sea totalmente inmanejable.

Poco después de traslucir la existencia de este informe, disponible en la web del ejército de los Estados Unidos, fue retirado. No obstante, es fácilmente localizable en la red (ver los enlaces de la sección ‘Más información’).

Hace un par de años, el secretario de defensa de los presidentes Kennedy y Jonson reveló otro dato, que como el comentado anteriormente, es igualmente escalofriante: durante años el famoso código necesario para lanzar un ataque nuclear era… la simple sucesión de ocho ceros. Este único código permaneció inalterado durante los momentos más críticos de la guerra fría. Y así continuó hasta 1997.