Una conferencia regional y agentes cibernéticos amigos del Pentágono ayudan a mejorar la seguridad
Redacción THE WATCH
La protección contra ataques cibernéticos es crucial para la defensa de cualquier nación. La innovación es clave a medida que evolucionan las tácticas enemigas y los avances tecnológicos revelan nuevas vulnerabilidades. Por este motivo, el Departamento de Defensa de los Estados Unidos (DOD) lanzó el programa “Hackea información al Pentágono”, una audaz iniciativa para reforzar las defensas cibernéticas.
El programa, lanzado en 2016, fue el primero en su tipo para el gobierno federal. Permite a los individuos buscar errores y vulnerabilidades en los sitios de Internet del DOD disponibles para el público.
“Sabemos que los participantes patrocinados por el Estado y los piratas de informática o hackers de sombrero negro quieren desafiar y explotar nuestras redes”, dijo el entonces Secretario de Defensa de Estados Unidos, Ash Carter, durante el lanzamiento del programa. “Lo que no reconocíamos antes de este piloto era la cantidad de hackers de sombrero blanco que quieren marcar una diferencia, (defensores) que quieren ayudar a mantener a nuestra gente y a nuestra nación más seguros”.
Bajo la supervisión del equipo de servicio digital del DOD, cerca de 14,000 “hackers” se registraron para participar en el programa piloto. Acordaron seguir ciertas reglas, y a cambio se les pagaba cuando encontraban vulnerabilidades legítimas en las plataformas del DOD. Sitios web como Defense.gov, DoDlive.mil, DVIDSHUB.net (Sistema de Distribución de Imágenes de Video de Defensa) y MyAFN.net (My American Forces Network Online) fueron algunos de los elegidos como objetivos.
“Cuando se trata de información y tecnología, el sistema de defensa usualmente se basa en sistemas cerrados”, dijo Carter. “Pero mientras más ojos amigos tengamos en algunos de nuestros sistemas y sitios de Internet, encontraremos más brechas, podremos solucionar más vulnerabilidades y podremos ofrecer más seguridad a nuestros combatientes”.
El primer informe de vulnerabilidad se presentó sólo 13 minutos después del lanzamiento del programa piloto y, en un plazo de seis horas, hubo 200 informes. Se pagó un total de 75 mil dólares por los informes presentados a lo largo de un mes.
Uno de los hackers, un estudiante de bachillerato, dijo que estaba agradecido por tan especial oportunidad. “Fue una gran experiencia”, dijo David Dworken. “Acabo de empezar a participar en más de estos programas de recompensas por encontrar errores y me pareció gratificante, tanto la parte monetaria como hacer algo que es bueno y beneficioso para proteger la información en línea en general”.
El programa fue considerado un gran éxito. Se descubrieron cientos de vulnerabilidades que no habían sido detectadas por los equipos de gobierno, entre ellas más de una docena consideradas de alto riesgo, dijo Kate Charlot, directora principal de política cibernética de la Oficina del Secretario de Defensa de los Estados Unidos. La directora compartió el programa con líderes y expertos en seguridad cibernética del Medio Oriente durante la Conferencia de Comunicaciones de la Región Central, o CRCC por sus siglas en inglés, del Comando Central de los Estados Unidos (CENTCOM) en abril del 2017 en Alexandria, Virginia, Estados Unidos. El Ejército de los EE. UU. está planeando un programa similar.
El DOD también ha creado un procedimiento para que las personas reporten vulnerabilidades de cualquier sitio público del DOD. Al igual que el programa de recompensas por encontrar errores, este es el primero en su tipo para el Gobierno Federal de los Estados Unidos, básicamente se trata del equivalente a una campaña digital de “ver algo, decir algo”.
AUMENTO DE VULNERABILIDADES
La necesidad de estos programas está creciendo exponencialmente. Los juguetes de los niños, los refrigeradores, las alarmas de seguridad del hogar y los semáforos son sólo algunos de los muchos dispositivos habilitados para Internet presentes en nuestra vida diaria. Si bien cada nuevo artículo ofrece comodidad e innovación a las personas en todo el mundo, existen ventajas y desventajas: los sistemas y productos basados en la Internet son vulnerables a la piratería informática. Los sistemas de aire acondicionado que enfrían las habitaciones donde se almacenan los servidores informáticos del gobierno pueden interrumpirse, causando disturbios en la red. Una muñeca que graba voces para entretener y consolar a los niños puede grabar conversaciones privadas dentro de las casas. A medida que avanza la tecnología, también aumenta el número de vulnerabilidades potenciales, lo cual aumenta la importancia de prepararse para las infracciones cibernéticas.
La creación de oportunidades para que los expertos militares, académicos, gubernamentales e industriales colaboren y adquieran nuevas perspectivas sobre el papel que cada uno de ellos desempeña en la seguridad nacional es imprescindible para hacer frente a estos retos. La CRCC fue una de estas oportunidades; se enfocó en la respuesta a incidentes cibernéticos. Las relaciones que se desarrollaron durante la conferencia permiten a las organizaciones recuperarse más rápidamente y con menos daños cuando ocurre un incidente.
“Creo que nuestra mejor defensa es ser proactivos”, dijo el entonces Subcomandante del CENTCOM, el Teniente General Charles Brown Jr. durante la conferencia CRCC, a la que asistieron representantes de Baréin, Egipto, Irak, Jordania, Kuwait, Líbano, Omán, Qatar, Arabia Saudita, los Emiratos Árabes Unidos y Estados Unidos. Explicó que cada país es más fuerte al colaborar con varias organizaciones dentro de un país y con expertos cibernéticos de todo el mundo.
Para ello es necesario romper una cultura de “depósitos de información” que existe en muchas organizaciones. Esto ayudará a los líderes a tomar decisiones basadas en toda la información disponible, explicó el General de División del Ejército de los EE. UU., Mitchell Kilgo, director de los Sistemas de Mando, Control, Comunicaciones e Informática de CENTCOM. “Debes tener un entendimiento de tus recursos críticos y las vulnerabilidades asociadas con los mismos”, señaló Kilgo. “Debes hablar sobre el riesgo para la misión y el riesgo para los recursos críticos. Esto es importante para los Comandantes”.
“Creo que nuestra mejor defensa es ser proactivos”.
General Charles Brown Jr., Subcomandante de CENTCOM
Representantes de empresas privadas y del mundo académico presentaron ponencias en la conferencia. Altos representantes de los gobiernos hablaron sobre las mejores prácticas en sus países, y proporcionaron información sobre temas dignos de futuros debates.
“En Irak, el crecimiento de la popularidad de la Internet —en cuestiones de seguridad, negocios y uso personal— coincidió con una falta de infraestructura cibernética segura”, explicó el General de División Mahdi Yasir Zubaidi, director de Comunicaciones Militares de la Secretaría de Defensa de Irak. “Esto aumentó la concientización de la necesidad de comprender los peligros de los delitos cibernéticos que acompañan a cada nuevo desarrollo tecnológico, especialmente en el contexto de la transformación de la sociedad en una comunidad cibernética”.
Los expertos dicen que una buena defensa cibernética requiere algo más que software. Para proteger mejor las redes e identificar las vulnerabilidades, los administradores de sistemas deben recibir adiestramiento para entender cómo piensan los adversarios y cómo “cazarlos” en una red.
Países como Kuwait han tenido éxito en el desarrollo de un enfoque de seguridad cibernética en todo el gobierno. Mohammad Altura, miembro de la junta ejecutiva de la Autoridad Reguladora de Comunicación y Tecnología de la Información de Kuwait, hizo una presentación detallada sobre el proceso de desarrollo de la estrategia de su país. Kuwait ha determinado los objetivos en los que se enfocará en los próximos tres años. Las tres principales iniciativas estratégicas son promover una cultura de seguridad cibernética en Kuwait; salvaguardar y mantener continuamente la seguridad de los bienes nacionales, incluida la infraestructura crítica, la información, las tecnologías de la comunicación y la Internet; y promover la cooperación, la coordinación y el intercambio de información con los organismos locales e internacionales en el ámbito de la seguridad cibernética.
Kuwait tiene planeados numerosos proyectos a implementar en los próximos años que ayudarán al país a alcanzar sus objetivos, como el establecimiento de un Centro Nacional de Seguridad Cibernética de Kuwait y el establecimiento de un equipo nacional de inteligencia que pueda trabajar con organizaciones mundiales para ayudar a identificar las amenazas a Kuwait.
“Hoy en día, existe una ausencia de leyes internacionales en materia de seguridad cibernética”, dijo Altura. “En lo concerniente a las fuerzas militares, las leyes son muy claras con respecto a la soberanía de un país. Con el ciberespacio, el proceso sigue abierto”.
El Dr. Ghazi Salem Al-Jobor, presidente de la junta de comisionados y director ejecutivo de la Comisión Reguladora de las Telecomunicaciones de Jordania, dijo que la conferencia proporciona al Gobierno y al Ejército de Jordania una mayor concientización de la importancia de colaborar con el sector privado y los socios regionales en la implementación de la seguridad cibernética.
Al-Jobor comentó: “Aprender de la experiencia de los Estados Unidos, y de las experiencias y medidas de otros fue muy útil para orientar nuestras ideas sobre cómo mitigar los ataques cibernéticos y la importancia de los factores que deben tenerse en cuenta para contar con medidas de respuesta eficaces a nivel nacional y regional”.
Gracias a la conferencia regional y al programa interno de piratería de información del DOD, los gobiernos están mejor equipados para protegerse contra ataques cibernéticos devastadores.
