Asalto al Capitolio: también un problema de seguridad IT

Las imágenes del asalto al Capitolio de Washington D.C., Estados Unidos, del pasado 6 de enero son terriblemente perturbadoras. Y es que no hay que olvidar nunca que cualquier intento, por parte de una minoría, de subvertir el orden democrático de un estado es, por definición, un intento de golpe de estado. Eso es lo que vivimos la semana pasada, y aunque viendo las imágenes pueda parecer que solo son un puñado de descerebrados que han cambiado las neuronas por serrín, en realidad hablamos de (y presenciamos) algo mucho más serio y peligroso que eso. Hablamos de un suceso que debe hacer pensar mucho, y a muchos, sobre las terribles consecuencias del populismo en sus múltiples variantes.

Pero estamos en MuySeguridad, no en MuyPolitica, por lo que vamos a hablar de las consecuencias que ha podido tener el asalto al Capitolio y que, durante el mismo, los golpistas pudieran tener acceso a los sistemas de políticos y personal del mismo. Y sí, solo plantearse el concepto ya da bastante miedo, ¿verdad? Normal, al fin y al cabo hablamos de un lugar en el que se trabaja con un gran volumen de información que, por diversas razones, debe permanecer solo al alcance de determinadas personas.

Y ojo, que con esto no estoy defendiendo el modelo de administración opaca, soy un firme defensor del gobierno abierto y de todas las iniciativas en este sentido. Creo que las administraciones públicas deben rendir cuentas del modo más detallado posible. Ahora bien, tampoco hay que olvidar la naturaleza, particularmente sensible, de no pocos aspectos de la actividad política. Y entiendo que esa información debe mantenerse protegida.

Sin embargo, con una pandilla de aspirantes a terroristas protagonizando el asalto al Capitolio, una incursión ilegal en un espacio especialmente protegido, dicha seguridad queda totalmente comprometida y, aún es más, dado que se trató de una acción planificada, se dan los mimbres necesarios para que, en términos de seguridad IT, la acción fuera todavía mucho más peligrosa de lo que pudiera parecer en un primer momento, un problema al que Sofrep dedica un interesante artículo.

Las imágenes de los asaltantes tomando algunos despachos durante el asalto al Capitolio han dado la vuelta al mundo, y a los que tenemos la seguridad IT siempre presente nos ha hecho preguntarnos si los asaltantes se conformaron con poner las botas sobre los escritorios y hacerse algunos selfies o, por el contrario, aprovecharon para intentar curiosear el contenido de los ordenadores de dichas instalaciones. Se sabe que algunos de los asaltantes intentaron rentabilizar aún más su acción robando algún ordenador portátil.

Como comentaba antes, hablamos de sistemas con acceso a información con distintos grados de confidencialidad, y que además tienen acceso a SIPRNet, la red de datos privada, gestionada por el Departamento de Defensa empleada por usuarios del Departamento de Defensa, el Departamento de Estado y otros organismos gubernamentales para transmitir información clasificada.

Durante las primeras horas del asalto al Capitolio la confusión fue enorme, por lo que es posible que alguno de esos ordenadores con documentos clasificados y acceso a SIPRNet quedará abierto y activo, ofreciendo acceso sin restricciones a dichos contenidos. Y es comprensible que, ante un puñado de golpistas que irrumpen violentamente en las instalaciones, la respuesta inmediata de los políticos y trabajadores fuera salir corriendo para ponerse a resguardo, sin pensar previamente si habían cerrado sesión en sus portátiles y equipos de sobremesa.

Pocas horas después del asalto al Capitolio, los responsables de SIPRNet realizaron los ajustes necesarios para que ningún sistema que hubiera escapado del control de sus usuarios pudiera seguir conectándose a la red, pero en este punto el aspecto clave es ese plazo, horas. Y sí, es probable que la inmensa mayoría de los participantes en el asalto al Capitolio no sumen las neuronas necesarias como para saber emplear esa ventana temporal para saltarse las medidas de seguridad de los ordenadores y acceder a dichos contenidos, pero probable no es sinónimo de seguro.

Por otra parte, y aunque no existe ninguna evidencia al respecto, hay otro aspecto muy importante y preocupante. El asalto al Capitolio no fue una acción espontánea, en realidad se gestó en servicios como Parler (del que hablaremos próximamente) y Reddit. Es decir, que hubo varios espacios públicos en los que, con antelación, se supo que se estaba planificando dicha acción. ¿Y qué impide que expertos en ciberseguridad con aviesas intenciones no decidieran infiltrarse entre los asaltantes? Era una oportunidad de oro para espías y ciberdelincuentes, personas que sí que sabrían cómo sacarle todo el partido a esa ventana temporal.

El asalto al Capitolio no solo fue un intento de golpe de estado frustrado (y por dichos cargos se debería juzgar a todos los que en él participaron), sino también un enorme compromiso de seguridad en una infraestructura particularmente sensible. Y aunque entiendo que las medidas de seguridad y protección de sistemas y redes es bastante alta, episodios como éste deben servir para que sus responsables extremen todavía más las medidas de protección.

No es probable que este tipo de incidentes se repita, y seguro que ya se han diseñado planes de actuación para poder mitigarlos si desgraciadamente volvieran a ocurrir, pero a la hora de asegurar siempre hay que ponerse en lo peor. Porque, como nos han demostrado los hechos, a veces lo peor puede ocurrir.

La entrada Asalto al Capitolio: también un problema de seguridad IT es original de MuySeguridad. Seguridad informática.