Pasar al contenido principal

Un experto 'adivina' en 9 segundos la contraseña maestra de un sistema de armas del ejército de EEUU: qué dice el fallo sobre la ciberseguridad militar

El Pentágono, sede del departamento de Defensa de EEUU
Reuters
  • Un informe sobre la ciberseguridad en Defensa de EEUU desvela la falta de seguridad de sus sistemas de armas.
  • La investigación es a petición del Senado de EEUU, previa a la aprobación de un presupuesto de 1.660 millones de dólares para modernizar la esos sistemas de armas.
  • Un evaluador tardó sólo 9 segundos en descifrar la contraseña maestra de uno de los sistemas.

En la ficción, el departamento de Defensa de EEUU es uno de los espacios más inexpugnables del planeta: no sólo es casi imposible entrar físicamente, sino que cuenta con uno de los sistemas de ciberseguridad más herméticos del planeta. O eso es lo que aparece en el cine, ya que la realidad es algo menos apasionante. El último ejemplo: un hacker que ha tardado 9 segundos en adivinar la contraseña maestra de un sistema de armas del ejército de EEUU.

Un reciente informe de la Oficina de Contabilidad del Gobierno de EEUU ha revelado que el departamento de Defensa sigue negando las amenazas de ciberseguridad a sus sistemas de armas. Y eso que el informe concluye que casi todas las armas que Defensa probó entre 2012 y 2017 tienen vulnerabilidades cibernéticas "críticas", tal y como recoge Wired.

"Usando herramientas y técnicas relativamente simples, los evaluadores pudieron tomar el control de los sistemas y operar en gran medida sin ser detectados, debido en parte a problemas básicos como la mala gestión de las contraseñas y las comunicaciones sin cifrar", señala el informe. Pero, quizás, lo más alarmante es que los supervisores de esos sistemas seguían negando los resultados.

Leer más: Cómo elegir una buena contraseña: los errores más comunes que debes evitar

Se trata de un informe elaborado a petición del Senado de EEUU, previo a la autorización de un presupuesto de 1.660 millones de dólares para que Defensa desarrolle sus sistemas de armas actuales. "Probablemente contenga toda una generación de sistemas que fueron diseñados y construidos sin considerar adecuadamente la ciberseguridad", concluye el documento.

Para llegar a esa conclusión, los investigadores se basaron en las pruebas de penetración que realizó la propia Defensa, así como en entrevistas personales con varios operadores de las oficinas del departamento.

"A menos que su muestreo o metodología fuera demasiado lejos o deliberadamente engañosa, el departamento de Defensa tiene un problema muy grave", explica al medio R. David Edelman, asistente especial en materia de ciberseguridad y política tecnológica en la era de Barack Obama en la Casa Blanca.

Vulnerabilidades en la contraseña maestra y falta de cifrado

En este sentido, el informe señala que las vulnerabilidades existentes en el departamento de Defensa sólo se están empezando a corregir ahora; vulnerabilidades "significativas" que afectan a sus sistemas de armas y que comenzaron con una seguridad de contraseña maestra deficiente o falta de cifrado.

Así, la principal preocupación que señala el informe está relacionada con la falta de seguridad evidenciada después de que un evaluador pudiese adivinar una contraseña de administrador en un sistema de armas en nueve segundos. 

Otras armas utilizaban software comercial o de código abierto, pero los administradores no habían cambiado las contraseñas predeterminadas. Así, otro evaluador logró apagar parcialmente un sistema de armas simplemente explorándolo, una técnica tan básica que, según el informe, "requiere poco conocimiento o experiencia".

Los investigadores incluso pudieron tomar el control total de estas armas en varios momentos. "En un caso, un equipo de prueba de dos personas tardó solo una hora en obtener el acceso inicial a un sistema de armas y un día en obtener el control total del sistema que estaban probando".

Te puede interesar