Una agencia de vigilancia del gobierno de EE. UU. robó más de 1 GB de datos personales confidenciales de los sistemas en la nube del Departamento del Interior de EE. UU. La buena noticia es que los datos eran falsos y formaban parte de una serie de pruebas para ver si la infraestructura de nube del Ministerio del Interior era segura.
Los detalles del experimento están contenidos en un nuevo informe de la Oficina del Inspector General (OIG) del Departamento del Interior publicado la semana pasada.
El propósito del informe era probar la seguridad de la infraestructura en la nube del Ministerio del Interior y su “solución de prevención de pérdida de datos”, software que se supone protege los datos más confidenciales del departamento de piratas informáticos maliciosos. La OIG dijo en su informe que las pruebas se realizaron entre marzo de 2022 y junio de 2023.
El Departamento del Interior administra las tierras federales, los parques nacionales, los presupuestos multimillonarios del país y aloja grandes cantidades de datos en la nube.
Para probar si la infraestructura de nube del Departamento del Interior era segura, la OIG utilizó una herramienta en línea llamada Mockaroo para crear datos personales falsos que “parecían ser válidos para las herramientas de seguridad del Departamento del Interior”, según el informe.
Luego, el equipo de la OIG utilizó máquinas virtuales dentro del entorno de nube del Departamento de Defensa para imitar a los “actores de amenazas avanzadas” dentro de la red, quienes luego utilizaron “técnicas bien conocidas y ampliamente documentadas para “lo robé”.
“Dejamos las máquinas virtuales intactas y no instalamos ninguna herramienta, software o malware que pudiera facilitar la filtración de datos de los sistemas de destino”, dice el informe.
La OIG realizó más de 100 pruebas en una semana mientras monitoreaba los “registros informáticos y el sistema de seguimiento de incidentes” de la agencia en tiempo real, sin indicios de que las pruebas fueran detectadas o bloqueadas por las defensas de ciberseguridad del departamento. Dijo que no existía tal cosa.
“Nuestras pruebas tuvieron éxito porque el Departamento de Defensa no implementó medidas de seguridad que pudieran prevenir o detectar técnicas bien conocidas y ampliamente utilizadas por partes maliciosas para robar datos confidenciales”, afirma la OIG. “Desde que el sistema estaba alojado en la nube, el Departamento de Defensa nunca ha realizado pruebas periódicas obligatorias de los controles del sistema para proteger los datos confidenciales del acceso no autorizado”.
Esas son malas noticias.Las debilidades en los sistemas y prácticas de las agencias indican “sensibles [personal information] “Decenas de miles de empleados federales corren el riesgo de sufrir un acceso no autorizado”, dice el informe. La OIG también dijo que si bien puede que no sea posible evitar que un “adversario con buenos recursos” se infiltre en el sistema, algunas mejoras podrían evitar que ese adversario extraiga datos confidenciales.
Esta prueba de “violación de datos” no fue realizada por un grupo de sofisticados piratas informáticos gubernamentales en China o Rusia, sino que se llevó a cabo en un entorno controlado por la OIG. Esto le dio al Ministerio del Interior la oportunidad de mejorar sus sistemas y defensas de acuerdo con una serie de recomendaciones establecidas en el informe.
El año pasado, la OIG del Departamento del Interior construyó equipos personalizados para descifrar contraseñas por valor de 15.000 dólares como parte de un esfuerzo para someter a prueba las contraseñas de miles de empleados del Departamento.
Fuente: https://techcrunch.com/2024/02/29/department-interior-watchdog-hack-cloud-data/