DOGE como ciberataque de Estado
(schneier.com)- Siguen apareciendo reportes de que personal vinculado al recién creado Department of Government Efficiency (DOGE) accedió a sistemas federales sensibles del Tesoro, USAID, OPM, Medicaid y Medicare, entre otros, lo que está sacudiendo los controles centrales de seguridad del gobierno de EE. UU.
- El problema no es solo de consulta: incluye privilegios de administrador, posible modificación de programas clave, acceso a claves de cifrado, alteración de registros de auditoría, conexión de servidores no autorizados e incluso la carga de datos sensibles en software de IA.
- El sistema federal de pagos del Tesoro maneja alrededor de 5.45 billones de dólares al año, y la OPM conserva información personal detallada de millones de empleados federales y personas con autorizaciones de seguridad, con importantes implicaciones para la seguridad nacional.
- Deberían estar funcionando mecanismos de prevención de abuso como separación de funciones, auditoría, trazabilidad de cambios, respuesta a incidentes y aprobaciones múltiples, pero el mayor riesgo señalado es que los funcionarios de carrera encargados de eso fueron apartados o reemplazados.
- Se necesita una auditoría que incluya revocar accesos no autorizados, restaurar procedimientos de autenticación, reintroducir monitoreo y gestión de cambios, e incluso considerar un reinicio completo de los sistemas; cuanto más se prolongue el acceso sin restricciones, más difícil será la recuperación.
El alcance de la brecha de seguridad causada por el acceso de DOGE
- En cuestión de semanas, el gobierno de EE. UU. podría haber sufrido una brecha de seguridad históricamente grave no por un sofisticado ciberataque extranjero o una operación de inteligencia, sino por instrucciones oficiales de un multimillonario con un rol poco claro dentro del gobierno.
- Se reporta que personal vinculado a DOGE accedió a sistemas informáticos del Tesoro y estuvo en posición de recopilar o potencialmente controlar datos de pagos federales por unos 5.45 billones de dólares al año.
- El alcance del acceso se amplió a varias agencias clave.
- Personal de DOGE sin autorización de seguridad accedió a datos confidenciales de USAID, y podría haberlos copiado a sus propios sistemas.
- La OPM, que conserva información personal detallada de millones de empleados federales y titulares de autorizaciones de seguridad, también figura entre los objetivos comprometidos.
- Los registros de Medicaid y Medicare también se consideran comprometidos.
- Algunos nombres de empleados de la CIA fueron enviados a cuentas de correo no clasificadas sin haber sido suficientemente eliminados.
- Hay reportes de que personal de DOGE está introduciendo datos del Departamento de Educación en software de IA y de que también empezó a trabajar en el Departamento de Energía.
Por qué bloquear el acceso al Tesoro no es suficiente
- El 8 de febrero, un juez federal bloqueó al equipo de DOGE para impedirle seguir accediendo a los sistemas del Tesoro.
- Como existe la posibilidad de que ya se hayan copiado datos o instalado o modificado software, no está claro que un simple bloqueo de acceso resuelva el problema.
- Si los empleados federales no siguen los protocolos diseñados para proteger la seguridad nacional, podrían producirse más compromisos en otros sistemas clave del gobierno.
Por qué estos sistemas son el núcleo del funcionamiento del Estado
- Los sistemas a los que accedió DOGE no son infraestructura periférica, sino el tejido conectivo central de la operación gubernamental.
- Los sistemas del Tesoro contienen el plano técnico de cómo el gobierno federal mueve dinero.
- La red de la OPM contiene información sobre a quién contrata el gobierno y con qué organizaciones firma contratos.
- La intrusión de 2015 en la OPM por parte del gobierno chino fue un gran fracaso de seguridad en EE. UU. que mostró cómo los datos de personal pueden usarse para identificar agentes de inteligencia y perjudicar la seguridad nacional.
Lo sin precedentes no es solo la escala, sino la forma
- Las potencias extranjeras hostiles normalmente pasan años infiltrándose en este tipo de sistemas gubernamentales de forma encubierta y tratando de ocultar sus huellas.
- Esta vez, operadores externos con experiencia limitada y casi sin supervisión obtuvieron públicamente acceso de nivel administrador y están modificando redes sensibles de EE. UU. bajo observación abierta.
- Esos cambios pueden crear nuevas vulnerabilidades de seguridad.
- Una preocupación aún mayor que el acceso en sí es el debilitamiento sistemático de los controles que detectan y frenan abusos.
- Protocolos estándar de respuesta a incidentes
- Auditorías
- Mecanismos de trazabilidad de cambios
- La remoción de los funcionarios de carrera responsables de esos controles de seguridad y su reemplazo por operadores con poca experiencia
El riesgo de ignorar el principio de separación de funciones
- Los sistemas informáticos del Tesoro están diseñados bajo el principio de que, por su impacto en la seguridad nacional, una sola persona no debe tener autoridad ilimitada, de forma similar a los protocolos de lanzamiento nuclear.
- Así como para lanzar un misil nuclear dos oficiales deben girar sus llaves al mismo tiempo, los cambios en sistemas financieros críticos tradicionalmente requieren la participación conjunta de varias personas autorizadas.
- Este enfoque responde al principio de seguridad de separation of duties, y no es un simple trámite burocrático.
- Igual que en la verificación de grandes transferencias bancarias o en la aprobación de informes financieros clave en una empresa, los procedimientos en los que varias personas validan con funciones separadas son salvaguardas esenciales contra la corrupción y los errores.
- El hecho de que estas medidas se hayan eludido o ignorado se compara con despedir a los guardias de Fort Knox y anunciar una política que permite visitas sin acompañamiento a la bóveda.
Permisos y cambios concretos que generan preocupación
- El equipo del senador Ron Wyden entiende que los atacantes obtuvieron permisos para modificar programas clave del Tesoro que validan pagos federales, acceder a claves de cifrado que protegen transacciones financieras y alterar los registros de auditoría que documentan cambios en el sistema.
- En la OPM, hay reportes de que personal vinculado a DOGE conectó servidores no autorizados a la red.
- También hay reportes de que se está entrenando software de IA con datos sensibles.
- No se conocen las funciones ni la configuración de los nuevos servidores, y no hay evidencia de que el nuevo código haya pasado por protocolos estrictos de pruebas de seguridad.
- Estos sistemas de IA no son lo suficientemente seguros para este tipo de datos y se convierten en objetivos ideales para adversarios extranjeros o domésticos que busquen acceso a datos federales.
Vulnerabilidades de largo plazo que dejan los cambios en el sistema
- La razón por la que los cambios de hardware o software pasan por procesos complejos de planificación y mecanismos sofisticados de control de acceso es la importancia de estos sistemas.
- Ahora, los sistemas se han vuelto mucho más vulnerables a ataques peligrosos, mientras que los administradores legítimos entrenados para protegerlos han quedado bloqueados.
- Modificar sistemas críticos puede dejar vulnerabilidades que no solo afecten la operación actual, sino que también puedan explotarse en ataques futuros.
- Adversarios como Rusia y China han apuntado a estos sistemas durante mucho tiempo, buscando no solo recopilar inteligencia sino entender cómo interrumpirlos en una crisis.
- Es posible que detalles técnicos sobre cómo funcionan los sistemas, sus protocolos de seguridad y sus vulnerabilidades hayan quedado expuestos a actores desconocidos sin las salvaguardas habituales.
El impacto de seguridad se divide en tres áreas
-
Manipulación del sistema
- Operadores externos pueden modificar la operación y también alterar la huella de auditoría que permitiría rastrear esos cambios.
-
Exposición de datos
- Más allá del acceso a información personal y registros de transacciones, podrían copiar la arquitectura completa del sistema y su configuración de seguridad.
- En el caso del Tesoro, esto incluye el plano técnico de la infraestructura federal de pagos de EE. UU.
-
Control del sistema
- Al modificar sistemas críticos y mecanismos de autenticación, pueden desactivar las herramientas diseñadas para detectar ese tipo de cambios.
- No se trata solo de un cambio operativo, sino de alterar la infraestructura de la que depende la propia operación.
Medidas inmediatas necesarias
- Hay que revocar el acceso no autorizado y restaurar los protocolos de autenticación adecuados.
- Deben reintroducirse el monitoreo integral del sistema y la gestión de cambios.
- Como es difícil sanear sistemas comprometidos, podría ser necesario un reinicio completo.
- Debe realizarse una auditoría exhaustiva de todos los cambios hechos en los sistemas durante este período.
- El acceso irrestricto continuado hará más difícil la recuperación final y aumentará el riesgo de daño irreversible a sistemas críticos.
1 comentarios
Opiniones de Hacker News
Las preocupaciones que plantea, en especial la parte de que países adversarios y actores hostiles obtienen más oportunidades para recopilar datos y entender cómo perturbar o atacar a Estados Unidos, parecen válidas.
Una cosa es que funcionarios electos hagan cosas tontas o inseguras, y otra que personas no electas puedan hacer esto sin ningún tipo de controles y contrapesos.
De paso, como parece que las publicaciones sobre este tema siguen siendo marcadas con flag, le di upvote a esta, y respeto a Bruce Schneier y muchas de sus opiniones.
Recuerdo que hubo un caso bastante famoso relacionado con un servidor de correo electrónico personal.
Comparado con lo que está pasando ahora, de verdad no tiene sentido.
Puede haber un error en el razonamiento de Schneier:
They are also reportedly training AI software on all of this sensitive data.Ejecutar inferencia no es lo mismo que entrenamiento.
Aun así, no creo que este artículo deba ser marcado con flag. Me parece contrario a la libertad de expresión, y en HN muchos otros textos suyos han sido bien valorados; claramente hay mucha gente que considera valiosas sus ideas. Si no estás de acuerdo, es mejor expresarlo en los comentarios que intentar hacer desaparecer el artículo.
La postura del otro lado es que acaban de recibir en las elecciones el mandato de auditar y reducir el desperdicio gubernamental, y que el acceso directo a los datos es necesario para evitar un problema principal-agente en el que los burócratas gubernamentales distorsionan los informes para proteger sus presupuestos y actividades de una vigilancia y supervisión no deseadas.
Si lo encuadras así, aunque haya puntos válidos como mantener el control de cambios, básicamente estás pidiendo que el bando contrario lo marque con flag.
Dicho eso, mi hipótesis es que su objetivo en realidad es entrenar modelos con prácticamente todo el output de cada departamento.
En cuanto a la ejecución técnica, creo que lo que se ve ahora termina reduciéndose a BigBalls y compañía preguntándole a un modelo de lenguaje grande qué hacer después. Apostaría dinero a que, si más adelante los procesan, esa será su defensa.
Schneier no debería ser marcado con flag. Desde hace días esperaba que alguien ofreciera una evaluación de riesgos de ciberseguridad serena y ordenada, y este texto es lo más cercano que podemos obtener.
Conviene tener presente el principio de la valla de Chesterton.
Si el país sobrevive a esta locura, el software tendrá que reescribirse desde cero. De lo contrario, no habrá forma de saber qué actores, nacionales o extranjeros, tienen conocimiento de los sistemas.
Las corporaciones son, en la práctica, el cuarto poder informal del gobierno. Si el mercado bursátil se desploma, desaparecerán en un instante.
Se cortarán los flujos de dinero de campaña y de lobistas que llegaban a los políticos, vendrá el pánico y también cambiará el liderazgo.
Sé que, por el fallo Citizens United, dinero de origen no identificado puede entrar desde cualquier parte y sostener campañas indefinidamente, pero no lo suficiente como para compensar un colapso bursátil causado por la pérdida de confianza en el dólar estadounidense y en los mercados.
Lo raro es que Trump, al menos en apariencia, está siguiendo desde el principio el manual del dictador de una forma desordenada. Ya existen dictadores vivos que escribieron ese manual. Para purgar el Estado administrativo, necesitas controlar el gobierno durante varios mandatos. Primero hay que devolver la economía o la calidad de vida a un cauce normal lo más rápido posible, para consolidar el poder máximo propio o el de un sucesor. Luego, a lo largo de varios mandatos, usar el poder que el pueblo entregó voluntariamente para desmantelar los controles sobre el propio poder y llenar los bolsillos y la cabeza de la base de apoyo. Después, aunque la economía se derrumbe, se hierve lentamente la rana de la resistencia hasta que nadie pueda sacarte del poder. Y entonces, cuando la gente empiece a quejarse, se empieza a diseñar una oposición para que quede una apariencia de libertad política que se pueda mostrar.
Trump parece estar haciendo esto al revés. En vez de concentrarse en la economía, primero está alimentando a su base, lo cual es una estrategia relativamente más riesgosa. Aun así, todavía no ha pasado ni un mes, así que queda tiempo para que empiece a seguir bien el manual.
Hasta que se impongan consecuencias, este comportamiento continuará
Además, esas consecuencias deberían ser de carácter legislativo o legal
Al modificar sistemas críticos, los atacantes no solo comprometieron las operaciones actuales, sino que también dejaron vulnerabilidades que podrían explotarse en futuros ataques. Es una oportunidad sin precedentes para países adversarios como Rusia y China. Estos países llevan mucho tiempo apuntando a estos sistemas, y no solo quieren recolectar información: también buscan entender cómo podrían perturbarlos durante una crisis.
En este momento, es realmente difícil imaginar que todo este golpe no sea un ataque al estilo Rusia/China contra el mundo occidental. Les favorece de una manera tan absurda que cuesta verlo como una coincidencia.
Tal vez se vean a sí mismos como algo distinto del gobierno, pero la competencia en la que participaron era precisamente para ser elegidos para hacer el trabajo del gobierno.
En algún momento, las herramientas para funciones gubernamentales útiles habrán sido destruidas lo suficiente como para que ya no quede capacidad utilizable.
¿De verdad tiene que ser así?
Si Dios quiere, el Estado administrativo será puesto de rodillas por funcionarios debidamente elegidos para ponerle límites.
Artículo relacionado: “Treasury was warned DOGE access to payments marked an ‘insider threat’”