La Agencia Nacional de Seguridad norteamericana, NSA no ha protegido correctamente un archivo con más de 100 GB de datos confidenciales con información sensible, dejándolo en un servidor de Amazon Web Services y sin cubrir la necesidad de generar ninguna contraseña para acceder a ella. Dicha Agencia de Seguridad Nacional aún no ha solucionado su problema de filtraciones.
Grave error de la NSA con sus datos confidenciales
Este error tan grave fue descubierto por Chris Vickery, director de ciberseguridad en UpGuard, que alertó a las autoridades en octubre. Según el experto, acceder a estos datos era «tan simple como escribir una URL. Estos datos tenían clasificación de «top secret» y había archivos conectados a las redes de inteligencia de Estados Unidos. Son cosas usadas para marcar personas para la muerte y estaban disponibles en una URL », cita la Cnet. Vickery dijo que había sido tan increíblemente fácil de acceder que cuando lo descubrió por primera vez, su primer pensamiento fue:»¿Es esto real?».
El servidor no estaba en la lista, pero no tenía una contraseña, lo que significaba que cualquiera que la encontrara podía escarbar en los documentos secretos del gobierno. Estaba en el subdominio «inscom» de AWS, una abreviatura para el Comando de Inteligencia y Seguridad del Ejército de los Estados Unidos. Eso es exactamente lo que sucedió a finales de septiembre de este año.
En este caso, la información estaba disponible en un servidor no listado de Amazon Web Services, pero no necesitaba autenticación para poder acceder. Entre los datos, había documentos clasificados como NOFORN, la sigla que indica que ni siquiera los aliados extranjeros de EEUU deberían tener acceso. Eso nos da una idea de la importancia de la información expuesta ante el público en general.
Esta situación tan desfavorable se generó debido a simple un error humano de la propia Agencia de Seguridad Nacional, ya que AWS dispone de opciones para proteger este tipo de información, pero esta configuración no ha sido elegida por quien quiera que haya colocado el archivo en línea.
Las brechas de datos de ambos servidores AWS y NSA se han vuelto comunes en los últimos años. La mala seguridad en los servidores de AWS llevó a que se expusieran datos relacionados con el Pentágono, Verizon, Dow Jones y casi 200 millones de registros de votantes estadounidenses.
Archivos y datos confidenciales expuestos
El servidor en cuestión tenía 47 archivos a los que se podía acceder, de los cuales tres podían ser descargados sin ningún problema, exponiendo así gran cantidad de información sensible al público común. Los 100 GB se refieren a un proyecto militar fallido en 2013, conocido como Red Disk e incluyen imágenes de drones, imágenes captadas por satélites y varios informes secretos.
Una imagen de disco virtual, esencialmente el contenido de un disco duro perteneciente a la NSA, se dejó expuesta en un servidor de almacenamiento público de Amazon Web Services. El servidor contenía más de 100 gigabytes de datos de un proyecto de inteligencia del Ejército llamado «Red Disk», según ZDNet.
La NSA, por su parte, ha sufrido notorias filtraciones que se remontan a la denuncia de Edward Snowden en 2013 sobre el programa de vigilancia masiva de la agencia. Desde entonces, los ladrones han robado las herramientas de piratería informática de la NSA, y un contratista de la NSA se enfrentó a cargos después de filtrar los secretos de la agencia al público. Otro contratista enfrenta hasta 11 años de prisión por robar documentos secretos.
Un error humano bastante costoso
El robo de datos de la NSA puede ocasionar graves daños colaterales. El masivo ataque ransomware de WannaCry se extendió rápidamente porque los hackers aprovecharon una herramienta robada de la NSA. La agencia aún no ha hecho ningún comentario al respecto, sin embargo, la mayoría de los datos no podrían ser accedidos sin conectarse a la red del Pentágono, dijeron los investigadores de la firma de seguridad.
ZDNet pudo echar un vistazo a algunos de los archivos y detectó una conexión con Red Disk, un sistema de inteligencia basado en la nube desarrollado por el Army en 2013. Red Disk, un programa de $93 millones de dólares considerado un fracaso militar, fue diseñado para ayudar al Pentágono con soldados en el campo que recolectaban informes clasificados, imágenes satelitales e imágenes de aviones teledirigidos. Todos los datos pertenecían a INSCOM, una división del Ejército y de la NSA.
«Dicho claramente, las herramientas digitales necesarias para acceder potencialmente a las redes en las que confían múltiples agencias de inteligencia del Pentágono para diseminar información no deberían estar a disposición de cualquiera que ingrese una URL en un navegador web», dijo UpGuard en una entrada del blog.
