OPM

Si no es ya una máxima, debería serlo: cada gran hack descubierto, con el tiempo llegará a ser más grave de lo que en un principio se creyó. Esto se sostiene como especialmente apropiado con el pirateo que sucedió hace ya casi un año contra la Oficina Federal de Administración de Personal, la división de recursos humanos del gobierno estadounidense (la OPM, por sus siglas en inglés).

Al principio, el gobierno dijo que la brecha expuso la información personal de aproximadamente cuatro millones de ciudadanos, información tal como números de la seguridad social, fechas de nacimiento y direcciones de trabajadores federales actuales y ya jubilados. Poco más tarde, el director del FBI James Comey dio la cifra de 18 millones de personas. La violación de datos, que había comenzado en marzo de 2014 (o puede que antes), fue detectada por la OPM en abril de 2015, considerándola por las autoridades federales como uno de los mayores fallos de seguridad de los datos del gobierno en toda la historia de los Estados Unidos.

El 9 de julio de 2015, la estimación del número de registros robados había aumentado a 21,5 millones, esto incluía los registros de las personas que se habían sometido a verificaciones de antecedentes, pero que no eran empleados del gobierno actuales o anteriores. Poco después, Katherine Archuleta, a la sazón directora de la OPM, renunció «voluntariamente» a su cargo. El escándalo había sido mayúsculo.

Y es que resulta que los hackers, que se cree que pudieran ser de China, también pudieron acceder a los formularios conocidos como SF-86, documentos utilizados para la realización de controles de antecedentes y autorizaciones de seguridad de los trabajadores americanos. Estos formularios pueden contener una gran cantidad de datos sensibles, no sólo acerca de los trabajadores que solicitan autorizaciones de seguridad, sino también acerca de sus amigos, cónyuges y otros miembros de la familia. También pueden incluir información potencialmente sensible sobre las interacciones de los demandantes con ciudadanos extranjeros que podrían utilizarse en contra de esos ciudadanos en su propio país.

Sede de la OPM en Washington, D. C.

Las repercusiones podrían ser mucho más graves de lo que nadie pensó en su día. Aunque los informes son contradictorios acerca de cómo la OPM se habría dado cuenta de la infracción, lo que está claro es que los investigadores tardaron más de un año en descubrirla, lo cual significa que el sistema EINSTEIN (un software de detección de instrusión de la NSA) falló. De acuerdo con un comunicado de la propia Oficina, la violación fue encontrada después de que los administradores tuvieran que realizar mejoras en sistemas no especificados. Pero el diario Wall Street Journal informó de que la brecha de seguridad fue descubierta, realmente, durante una demostración de ventas de una empresa de seguridad llamada CyTech Services.

A medida que fueron saliendo más datos sobre los tipos de información a la que los hackers habían accedido, las repercusiones se antojaban mucho más graves de lo que nadie imaginó al principio, porque, de hecho, los datos consultados por los intrusos pudieron representar todavía un abanico mucho más amplio de pensado. Las 127 páginas de los formularios SF-86 que se cree que fueron visitadas por los hackers, también incluían información financiera, historias detalladas de empleo (con motivos de despidos), así como antecedentes penales, registros psicológicos e información sobre el consumo de drogas en el pasado.

Hubo otro motivo de mucha preocupación, también, incluso más allá del riesgo de chantaje por la información recabada. Los formularios SF-86, como decíamos antes, pueden incluir una lista de personas en el extranjero con las que un trabajador haya estado en contacto. Por lo tanto, diplomáticos y empleados con acceso a información clasificada se afanaron en proporcionar una lista de estos contactos (y de ir a avisarlos), pues existía la preocupación de que el gobierno chino se apoderara de relaciones con nombres de los ciudadanos de su país que hubieran estado en contacto con trabajadores del gobierno de Estados Unidos y que pudieran utilizar estos hechos para chantajearlos o castigarlos.

Los millones de víctimas de esta falla de seguridad de la OPM, como no puede ser de otra manera, expresaron su indignación por el derrame masivo de datos personales. J. David Cox, el presidente del sindicato de empleados del gobierno federal, escribió una enérgica carta a la directora de la OPM, Katherine Archuleta, censurando la mala gestión de la seguridad que llevó a la brecha y, también, la respuesta de la agencia a la misma.

Aún se sigue investigando aquella filtración de datos, pero no se ha sacado mucho en claro. El hecho fue tan extraordinario que hasta tiene su propia entrada en Wikipedia.

2 comentarios a “Cuando se puso en jaque la seguridad de veintiún millones de estadounidenses”