Últimas Noticias:
Tecnología 

Cómo los problemas de ciberseguridad han afectado durante años

168 Views
  • Descarga aquí la edición de clasificados para que puedas ver las opciones de trabajo disponible en tu area

    • A principios de este año se instaló un nuevo liderazgo en la Oficina de Tecnología de la Información del Condado de Prince George, con la ex directora Wanda Gibson renunciando repentinamente o, según algunos dentro del departamento, siendo expulsada en medio de quejas sobre su gestión y la cultura fomentada allí.

     

    Gibson había estado a cargo de la agencia de Maryland desde 2019, y en los últimos años comenzó a generar quejas formales de los empleados que trabajaban bajo su mando, algunas de las cuales fueron corroboradas por las investigaciones que desencadenaron esas quejas.

     

    Fuentes dijeron  que bajo su dirección, junto con el carrusel de agentes bajo su mando, los problemas de seguridad sólo se detectaron cuando los líderes de la agencia fueron alertados de la situación por monitores externos.

     

    En un caso, una vulnerabilidad provocó que los datos personales de los residentes del condado posiblemente estuvieran expuestos a hackers, aunque no hay evidencia de que realmente los hayan obtenido. En ambos casos, el condado minimizó la gravedad de los incidentes, que no se habían revelado previamente.

     

    El primero ocurrió a principios del verano de 2023, cuando piratas informáticos rusos involucrados en lo que en el condado de Prince George se conoce como «Urban Blizzard» (el condado estaba entre varios gobiernos del país que fueron pirateados) pudieron obtener acceso a la red del condado.

     

    Un informe de Microsoft describió, según un experto independiente en ciberseguridad que lo vio, un nivel básico de ciberprotección inaceptablemente bajo, similar al que tendría una red nueva antes de que se implementaran medidas para proteger la información. Un exempleado de OIT afirmó que el ataque se detectó dos meses después y que no está claro qué información pudo haberse visto comprometida.

     

    Una portavoz del gobierno del condado de Prince George reconoció el incidente y afirmó que «algunas cuentas se vieron comprometidas y eso fue todo». También afirmó que el condado no se vio afectado sistémicamente como otros gobiernos del mundo.

     

    Al preguntársele por qué no se divulgó públicamente en 2023, respondió que el condado lo comentó en ese momento, pero no pudo proporcionar ningún registro que lo confirmara. Una búsqueda en internet no encontró ninguna referencia al incidente.

    Vulnerabilidades del servidor

     

    Luego, en junio de 2024, el condado recibió un correo electrónico del Centro de análisis e intercambio de información multiestatal, una organización sin fines de lucro que apoya las operaciones de ciberseguridad de más de 17,000 gobiernos estatales y locales.

     

    En el correo electrónico, se advertía sobre una vulnerabilidad detectada en el servidor. Dos exempleados de la OIT familiarizados con dicha brecha informaron a WTOP que los servidores contenían la información personal de miles de residentes del condado y que se sintieron frustrados al ver que no se hacía nada para remediar la situación de inmediato.

     

    Uno de los empleados aceptó hablar, pero admitió estar preocupado por revelar demasiado sobre la información que se hizo vulnerable debido a su sensibilidad.

     

    Una portavoz del condado dijo que OIT terminó reparando ese servidor y, después de revisar los registros, dijo que no había registro de ninguna violación.

     

    Algunos documentos relacionados con la respuesta indicaron que la resolución tardó poco más de una semana. Una fuente involucrada en ese momento declaró  que la causa eran problemas de seguridad obsoletos y sugirió que la falta de registros implica que el condado no tendría forma de saber si se robó algo.

     

    “Al igual que cualquier organización gubernamental, les proporcionarás mucha información personal sobre ti y tu familia”, dijo John Loucaides, vicepresidente sénior de operaciones con clientes de Eclypsium, empresa especializada en seguridad de infraestructura. “Se espera que esa información sea uno de los atributos mejor protegidos de tu vida”.

     

    «El condado tiene esos registros y tiene la responsabilidad de protegerlos», añadió.

    Lecciones no aprendidas

     

    Apenas unos meses antes de ese incidente, pero después del ataque ruso, se enteraron de que el condado pagó a piratas informáticos externos para que intentaran entrar en su red de computadoras, esencialmente contratando a alguien externo para piratear y probar los sistemas de defensa cibernética del condado.

     

    A pesar de saber cuándo ocurriría el ataque, el hackeo en sí no activó ninguna alarma y pasó desapercibido. En particular, un resumen de la prueba mostró que no se enviaron alertas al condado por correo electrónico ni teléfono, algo que debería haber ocurrido.

     

    La única alarma que se activó se produjo cuando uno de los hackers intentó iniciar sesión desde países de dos continentes distintos, con apenas minutos de diferencia. Un informe posterior indicó que la alerta que se activó «no se debió a ninguna actividad de prueba».

     

    “Siempre considero que un incidente aislado en ciberseguridad es algo que le puede pasar a cualquiera, simplemente por mala suerte”, afirmó Loucaides.

     

    Pero, en este caso, dijo, no parecía haber ninguna lección aprendida.

     

    “Si no se invierte adecuadamente en ciberseguridad, esto se convertirá en un patrón, no en un incidente aislado”, afirmó. “Eso es lo que me preocupa de este asunto en particular”.

     

    Esos incidentes no detectados se mencionarían en una denuncia anónima presentada contra Gibson a principios de este año que decía que OIT no había informado adecuadamente las infracciones que no habían sido detectadas por los equipos de ciberseguridad del condado.

    Ambiente de trabajo hostil

     

    Todo ocurrió en una época en la que el ambiente dentro de OIT podía calificarse de tóxico, según empleados actuales y anteriores.

     

    La denuncia también planteó interrogantes sobre los contratos otorgados por la OIT a proveedores de todo el país, algunos de los cuales ascienden a cientos de miles de dólares por lo que, según una fuente, solía ser un trabajo mínimo. No está claro cuánto investigó la oficina de cumplimiento del condado, ya que Gibson dejó su puesto después de su presentación.

     

    Múltiples llamadas realizadas a Gibson no han obtenido respuesta.

     

    Sin embargo, una fuente confirma que Gibson también fue investigado varias veces por otras agencias de vigilancia del condado, incluida la Oficina de Gestión de Recursos Humanos y la Oficina de Ética y Responsabilidad.

     

    Se investigaron de forma independiente numerosas quejas presentadas por empleados a través de la Oficina de Gestión de Recursos Humanos (OGRH), incluyendo denuncias de ambiente laboral hostil, discriminación racial y represalias. Si bien muchas no se probaron, varias sí.

     

    Aún así, Gibson permaneció en su puesto a pesar de esos hallazgos.

     

    El condado no hizo comentarios sobre las circunstancias que finalmente llevaron a la salida de Gibson, ni hubo ninguna respuesta a los resultados de las investigaciones desencadenadas por las quejas de los empleados.