Los sistemas de armas que está desarrollando el Departamento de Defensa de los EE. UU. Son vulnerables a los ataques cibernéticos, lo que significa que algunos malhechores con habilidades de piratería podrían tomar el control de tales armas sin ser notados, según un nuevo informe de la Oficina de Responsabilidad del Gobierno de los EE. UU. (GAO), publicado en octubre 9.
Y el DOD parecía ajeno a las amenazas: aunque las pruebas realizadas por el propio DOD han mostrado tales vulnerabilidades, los funcionarios del departamento le dijeron a la GAO que "creían que sus sistemas eran seguros y descartaron algunos resultados de las pruebas como poco realistas", según el informe, que se basa en un análisis de pruebas, políticas y pautas de seguridad cibernética del DOD, así como en entrevistas del DOD.
"Utilizando herramientas y técnicas relativamente simples, los evaluadores pudieron tomar el control de los sistemas y operar en gran medida sin ser detectados, debido en parte a problemas básicos como la mala administración de la contraseña y las comunicaciones no cifradas", dijo el informe.
De hecho, un equipo de prueba descifró la contraseña de un administrador en solo 9 segundos. Un funcionario del Departamento de Defensa dijo que el tiempo para descifrar contraseñas no es una medida útil de la seguridad de un sistema porque un atacante puede pasar meses o años tratando de entrar en un sistema; con esa línea de tiempo, si toma algunas horas o unos días adivinar una contraseña no tiene sentido. Sin embargo, la GAO dijo que tal ejemplo revela cuán fácil es hacerlo en el DOD. (La escritora cableada Emily Dreyfuss informó sobre el crack de contraseña de 9 segundos el 10 de octubre).
El Comité de las Fuerzas Armadas del Senado solicitó el análisis y el informe en anticipación de los $ 1.66 billones que el DOD planea gastar para desarrollar su "cartera" actual de los principales sistemas de armas.
Cada vez más, los sistemas de armas dependen del software para llevar a cabo sus funciones. Las armas también están conectadas a Internet y a otras armas, lo que las hace más sofisticadas, según la GAO. Estos avances también los hacen "más vulnerables a los ataques cibernéticos", dijo la GAO.
Cualquier parte de un sistema de armas que funciona con software puede ser hackeada. "Los ejemplos de funciones habilitadas por software, y potencialmente susceptibles de compromiso, incluyen encender y apagar un sistema, apuntar a un misil, mantener los niveles de oxígeno de un piloto y volar aviones", dijo el informe de la GAO.
Aunque el Departamento de Defensa ha comenzado a hacer mejoras en la seguridad cibernética en los últimos años, dijo la GAO, se enfrenta a varios desafíos, uno de los cuales es la falta de intercambio de información entre los programas. Por ejemplo, "si un sistema de armas experimentó un ataque cibernético, los funcionarios del programa DOD no recibirían detalles específicos de ese ataque de la comunidad de inteligencia debido al tipo de clasificación de esa información", dijo el informe.
Además, el DOD está teniendo dificultades para contratar y retener expertos en ciberseguridad, según el informe.
Aunque la GAO dijo que no tiene recomendaciones ahora, la agencia cree que las vulnerabilidades detectadas en su análisis "representan una fracción de las vulnerabilidades totales debido a las limitaciones de las pruebas. Por ejemplo, no todos los programas han sido probados y las pruebas no reflejan el rango completo de amenazas ".
Artículo original sobre Ciencia viva.