Violación de datos de la Oficina de Gestión de Personal

Ciberataque que roba 20 millones de expedientes de personal federal

La filtración de datos de la Oficina de Gestión de Personal fue una filtración de datos de 2015 dirigida a los registros de autorización de seguridad del gobierno de EE. UU. del Formulario Estándar 86 (SF-86) retenidos por la Oficina de Gestión de Personal de los Estados Unidos (OPM). Una de las mayores filtraciones de datos gubernamentales en la historia de los EE. UU., el ataque fue llevado a cabo por una amenaza persistente avanzada con sede en China , que se cree ampliamente que es el Departamento de Seguridad del Estado de Jiangsu , una subsidiaria de la agencia de espionaje del Ministerio de Seguridad del Estado del Gobierno de China .

En junio de 2015, la OPM anunció que había sido objeto de una filtración de datos que afectaba a los registros de personal. ^[1] Aproximadamente 22,1 millones de registros se vieron afectados, incluidos los registros relacionados con empleados del gobierno, otras personas que se habían sometido a verificaciones de antecedentes y sus amigos y familiares. ^{[2] [3]} Una de las mayores filtraciones de datos gubernamentales en la historia de los EE. UU., ^[1] la información que se obtuvo y se exfiltró en la filtración ^[4] incluía información de identificación personal como números de Seguro Social , ^[5] así como nombres, fechas y lugares de nacimiento y direcciones. ^[6] Los piratas informáticos patrocinados por el estado que trabajaban en nombre del gobierno chino llevaron a cabo el ataque. ^{[4] [7]}

La filtración de datos consistió en dos ataques separados, pero vinculados. ^[8] No está claro cuándo ocurrió el primer ataque, pero el segundo ataque ocurrió el 7 de mayo de 2014, cuando los atacantes se hicieron pasar por empleados de KeyPoint Government Solutions, una empresa subcontratista. El primer ataque se descubrió el 20 de marzo de 2014, pero el segundo no se descubrió hasta el 15 de abril de 2015. ^[8] A raíz del evento, Katherine Archuleta , directora de OPM, y la CIO, Donna Seymour, dimitieron. ^[9]

Descubrimiento

La primera violación, denominada "X1" por el Departamento de Seguridad Nacional (DHS), fue descubierta el 20 de marzo de 2014 cuando un tercero notificó al DHS sobre la exfiltración de datos de la red de la OPM. ^[8]

En cuanto a la segunda filtración, denominada "X2", el New York Times había informado de que la infiltración se descubrió utilizando el programa de detección de intrusiones Einstein del Equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT). ^[10] Sin embargo, el Wall Street Journal , Wired , Ars Technica y Fortune informaron más tarde de que no estaba claro cómo se descubrió la filtración. Informaron de que puede haber sido una demostración de producto de CyFIR, un producto forense comercial de una empresa de seguridad de Manassas, Virginia, CyTech Services, lo que descubrió la infiltración. ^{[11] [12] [13] [14]} Estos informes fueron posteriormente analizados por CyTech Services en un comunicado de prensa emitido por la empresa el 15 de junio de 2015 ^[15] para aclarar las contradicciones realizadas por el portavoz de la OPM, Sam Schumach, en una edición posterior del artículo de Fortune ^[11] . Sin embargo, no fue CyTech Services el que descubrió la infiltración; más bien, fue detectada por el personal de la OPM utilizando un producto de software del proveedor Cylance. ^{[16] [17]} Finalmente, el Informe del Personal de la Mayoría de la Cámara de Representantes sobre la violación de la OPM no encontró evidencia que sugiriera que CyTech Services sabía de la participación de Cylance o tenía conocimiento previo de una violación existente en el momento de la demostración de su producto, lo que llevó a la conclusión de que ambas herramientas "descubrieron" de forma independiente el código malicioso que se ejecutaba en la red OPM. ^[8]

Robo de datos

Robo de información de autorización de seguridad

La filtración de datos comprometió el Formulario Estándar 86 (SF 86) de 127 páginas (Cuestionario para Cargos de Seguridad Nacional), un documento altamente confidencial. ^{[7] [18]} Los formularios SF-86 contienen información sobre miembros de la familia, compañeros de cuarto en la universidad, contactos extranjeros e información psicológica. Inicialmente, la OPM afirmó que los nombres de los miembros de la familia no se vieron comprometidos, ^[18] pero la OPM confirmó posteriormente que los investigadores tenían "un alto grado de confianza en que los sistemas de la OPM que contienen información relacionada con las investigaciones de antecedentes de empleados actuales, anteriores y potenciales del gobierno federal, incluido el personal militar de los EE. UU. y aquellos para quienes se realizó una investigación de antecedentes federales, pueden haber sido exfiltrados". ^[19] Sin embargo, la Agencia Central de Inteligencia no utiliza el sistema de la OPM; por lo tanto, es posible que no haya sido afectado. ^[20]

Robo de datos personales

J. David Cox, presidente de la Federación Estadounidense de Empleados Gubernamentales , escribió en una carta a la directora de la OPM, Katherine Archuleta, que, basándose en la información incompleta que la AFGE había recibido de la OPM, "creemos que el Archivo Central de Datos de Personal era la base de datos atacada, y que los piratas informáticos están ahora en posesión de todos los datos de personal de cada empleado federal, cada jubilado federal y hasta un millón de ex empleados federales". ^[21] Cox afirmó que la AFGE cree que la violación comprometió registros militares, información sobre el estado de los veteranos, direcciones, fechas de nacimiento, historial laboral y salarial, información sobre seguros médicos y de vida, información sobre pensiones y datos sobre edad, género y raza. ^[21]

Robo de huellas dactilares

Los datos robados incluían 5,6 millones de juegos de huellas dactilares. ^[22] El experto en biometría Ramesh Kesanupalli dijo que debido a esto, los agentes secretos ya no estaban seguros, ya que podían ser identificados por sus huellas dactilares, incluso si sus nombres habían sido cambiados. ^[23]

Perpetradores

El consenso abrumador es que el ciberataque fue llevado a cabo por atacantes patrocinados por el estado para el gobierno chino , específicamente el Departamento de Seguridad del Estado de Jiangsu . ^[4] El ataque se originó en China, ^[6] y la herramienta de puerta trasera utilizada para llevar a cabo la intrusión, PlugX, ha sido utilizada anteriormente por grupos de piratas informáticos de habla china que tienen como objetivo a activistas políticos tibetanos y de Hong Kong. ^[4] El uso de nombres de superhéroes también es un sello distintivo de los grupos de piratas informáticos vinculados a China. ^[4]

El informe del Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes sobre la violación sugirió firmemente que los atacantes eran actores estatales debido al uso de una pieza de malware muy específica y altamente desarrollada . ^{[8] El funcionario} del Departamento de Seguridad Nacional de EE. UU. Andy Ozment testificó que los atacantes habían obtenido credenciales de usuario válidas para los sistemas que estaban atacando, probablemente a través de ingeniería social . La violación también consistió en un paquete de malware que se instaló dentro de la red de OPM y estableció una puerta trasera. Desde allí, los atacantes aumentaron sus privilegios para obtener acceso a una amplia gama de sistemas de OPM. En un artículo que salió antes del informe de Supervisión de la Cámara, Ars Technica informó sobre las malas prácticas de seguridad en los contratistas de OPM que al menos un trabajador con acceso raíz a cada fila de cada base de datos estaba ubicado físicamente en China y otro contratista tenía dos empleados con pasaportes chinos . ^[24] Sin embargo, se discutió que estas eran malas prácticas de seguridad, pero no la fuente real de la filtración.

China negó su responsabilidad por el ataque. ^[25]

En 2017, el ciudadano chino Yu Pingan fue arrestado bajo cargos de proporcionar el malware "Sakula" utilizado en la violación de datos de OPM y otras intrusiones cibernéticas. ^{[26] [27]} El FBI arrestó a Yu en el Aeropuerto Internacional de Los Ángeles después de que había volado a los EE. UU. para una conferencia. ^{[26] [27]} Yu pasó 18 meses en el centro de detención federal de San Diego y se declaró culpable del delito federal de conspiración para cometer piratería informática y posteriormente fue deportado a China. ^[27] Fue sentenciado a tiempo cumplido en febrero de 2019 y se le permitió regresar a China; a fines de ese año, Yu estaba trabajando como profesor en la Escuela Comercial de Shanghái, administrada por el gobierno, en el centro de Shanghái . ^[27] Yu fue sentenciado a pagar $ 1,1 millones en restitución a las empresas atacadas por el malware, aunque hay pocas posibilidades de reembolso real. ^[27] Yu fue uno de los pocos piratas informáticos chinos arrestados y condenados en los EE. UU.; la mayoría de los piratas informáticos nunca son detenidos. ^[27]

Motivo

No está claro si el ataque tuvo como motivación un beneficio comercial. ^[10] Se ha sugerido que piratas informáticos que trabajan para el ejército chino pretenden compilar una base de datos de estadounidenses utilizando los datos obtenidos de la filtración. ^[25]

Advertencias

La OPM había sido advertida en múltiples ocasiones sobre vulnerabilidades y fallas de seguridad. En marzo de 2015, un informe semestral de la Oficina del Inspector General de la OPM al Congreso advertía sobre "deficiencias persistentes en el programa de seguridad del sistema de información de la OPM", incluidos "paquetes de autorización de seguridad incompletos, debilidades en las pruebas de los controles de seguridad de la información y planes de acción e hitos inexactos". ^{[28] [29]}

En julio de 2014, The New York Times publicó un artículo en el que se citaba a altos funcionarios estadounidenses que, sin identificar, afirmaban que piratas informáticos chinos habían entrado en la OPM. Los funcionarios dijeron que los piratas informáticos parecían tener como objetivo los archivos de trabajadores que habían solicitado autorizaciones de seguridad y habían obtenido acceso a varias bases de datos, pero que habían sido detenidos antes de que obtuvieran la información de la autorización de seguridad. En una entrevista realizada más tarde ese mes, Katherine Archuleta , directora de la OPM, dijo que lo más importante era que no se había comprometido ninguna información de identificación personal. ^{[20] [30] [31]}

Responsabilidad

Algunos legisladores pidieron la renuncia de Archuleta, alegando mala gestión y que era una funcionaria política y ex funcionaria de la campaña de Obama sin título ni experiencia en recursos humanos . Archuleta respondió que ni ella ni la directora de información de la OPM, Donna Seymour, lo harían. "Estoy comprometida con el trabajo que estoy haciendo en la OPM", dijo Archuleta a los periodistas. "Confío en el personal que está allí". ^[2] El 10 de julio de 2015, Archuleta renunció como directora de la OPM. ^[32]

Daniel Henninger , subdirector de la página editorial del Wall Street Journal , hablando en el Journal Editorial Report de Fox News , criticó el nombramiento de Archuleta para estar "a cargo de una de las agencias más sensibles" del gobierno de Estados Unidos, diciendo: "¿Qué experiencia tiene para dirigir algo así? Ella fue la directora política nacional de la campaña de reelección de Barack Obama en 2012. También es la jefa de algo llamado la Iniciativa Latina. Es una política, ¿verdad? ... Ese es el tipo de persona que han puesto". ^[33]

Los expertos en seguridad han afirmado que el mayor problema de la brecha no fue la incapacidad de prevenir intrusiones remotas, sino la ausencia de mecanismos para detectar intrusiones externas y la falta de un cifrado adecuado de los datos sensibles. La CIO de la OPM, Donna Seymour, refutó esa crítica señalando que los sistemas obsoletos de la agencia son el principal obstáculo para poner en marcha esas protecciones, a pesar de tener herramientas de cifrado disponibles. El subsecretario de Seguridad Cibernética y Comunicaciones del DHS, Andy Ozment, explicó además que "si un adversario tiene las credenciales de un usuario en la red, puede acceder a los datos incluso si están cifrados, al igual que los usuarios de la red tienen que acceder a los datos, y eso ocurrió en este caso. Por lo tanto, el cifrado en este caso no habría protegido estos datos". ^[34]

Investigación

En un memorando del 22 de julio de 2015, el inspector general Patrick McFarland decía que la directora de información de la OPM, Donna Seymour, estaba retrasando su investigación sobre la filtración de datos, lo que le llevó a preguntarse si estaba actuando de buena fe o no. No planteó ninguna denuncia específica de mala conducta, pero sí dijo que su oficina estaba fomentando una "atmósfera de desconfianza" al proporcionarle información "incorrecta o engañosa". ^[35] El lunes 22 de febrero de 2016, la directora de información, Donna Seymour, dimitió, tan sólo dos días antes de que tuviera previsto testificar ante un panel de la Cámara de Representantes que sigue investigando la filtración de datos. ^[36]

En 2018, se informó que la OPM todavía era vulnerable a los robos de datos, y que 29 de las 80 recomendaciones de la Oficina de Responsabilidad Gubernamental seguían sin abordarse. ^[37] En particular, se informó que la OPM todavía estaba utilizando contraseñas que habían sido robadas en la violación. ^[37] Tampoco había interrumpido la práctica de compartir cuentas administrativas entre usuarios, a pesar de que esa práctica había sido recomendada en contra ya en 2003. ^[37]

Reacciones

El director del FBI, James Comey, declaró: "Es un asunto muy importante desde una perspectiva de seguridad nacional y de contrainteligencia. Es un tesoro de información sobre todos los que han trabajado, han intentado trabajar o trabajan para el gobierno de los Estados Unidos". ^[38]

En un foro celebrado en Washington, el director de Inteligencia Nacional, James R. Clapper, dijo: "Hay que reconocerles a los chinos lo que hicieron. Si tuviéramos la oportunidad de hacerlo, no creo que lo dudaríamos ni un minuto". ^[39]

Véase también

• Violación de datos del Departamento del Tesoro y del Departamento de Comercio de los Estados Unidos en 2020
• La ciberguerra de China
• Operación Aurora
• Violaciones de datos de Yahoo!

Referencias

1. Barrett, Devlin (5 de junio de 2015). "Estados Unidos sospecha que piratas informáticos en China violaron los registros de aproximadamente cuatro (4) millones de personas, según las autoridades". Wall Street Journal . Consultado el 5 de junio de 2015 .
2. Zengerle, Patricia; Cassella, Megan (9 de julio de 2015). "Se dispara la estimación de estadounidenses afectados por el hackeo de datos del personal del gobierno". Reuters . Consultado el 9 de julio de 2015 .
3. Nakashima, Ellen (9 de julio de 2015). «Los ataques a las bases de datos de la OPM comprometieron a 22,1 millones de personas, según las autoridades federales». The Washington Post . Consultado el 19 de julio de 2020 .
4. Fruhlinger, Josh (12 de febrero de 2020). "El hackeo de la OPM explicado: las malas prácticas de seguridad se enfrentan al Capitán América de China". CSO Online . Consultado el 29 de mayo de 2023 .
5. Risen, Tom (5 de junio de 2015). "China, sospechosa de robar registros de empleados federales". US News & World Report . Consultado el 5 de junio de 2015 .
6. Sanders, Sam (4 de junio de 2015). "Una filtración masiva de datos pone en riesgo los registros de 4 millones de empleados federales". NPR . Consultado el 5 de junio de 2015 .
7. Garrett M. Graff, La ola de piratería informática en China tendrá consecuencias que durarán décadas, Wired (11 de febrero de 2020).
8. Chaffetz, Jason (7 de septiembre de 2016). "La filtración de datos de la OPM: cómo el gobierno puso en peligro nuestra seguridad nacional durante más de una generación" (PDF) . Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes . Archivado desde el original (PDF) el 21 de septiembre de 2018. Consultado el 4 de octubre de 2019 .
9. Boyd, Aaron (8 de agosto de 2017). "Seymour, director de informática de la OPM, renuncia días antes de la audiencia de supervisión". Federal Times . Consultado el 4 de diciembre de 2017 .
10. Sanger, David E. (5 de junio de 2015). "Hacking vinculado a China expone a millones de trabajadores estadounidenses". New York Times . Consultado el 5 de junio de 2015 .
11. "Una demostración de producto reveló la mayor filtración de datos del gobierno jamás sufrida - Fortune". Fortune . Consultado el 10 de julio de 2015 .
12. Kim Zetter y Andy Greenberg (11 de junio de 2015). "Why The OPM Breach Is Such a Security and Privacy Debacle" (Por qué la filtración de datos de la OPM es un desastre de seguridad y privacidad). Wired . Consultado el 10 de julio de 2015 .
13. "Informe: Se descubre un ataque informático a los registros de empleados del gobierno mediante una demostración de producto". Ars Technica . 11 de junio de 2015 . Consultado el 10 de julio de 2015 .
14. Damian Paletta y Siobhan Hughes (10 de junio de 2015). "Las agencias de espionaje de Estados Unidos se unen a la investigación sobre el robo de registros personales". WSJ . Consultado el 10 de julio de 2015 .
15. "CyTech Services confirma su asistencia a la respuesta a la violación de OPM". PRWeb . 15 de junio de 2015 . Consultado el 10 de julio de 2015 .
16. "Crédito por descubrir la violación de la OPM". POLITICO . 27 de mayo de 2016 . Consultado el 17 de septiembre de 2016 .
17. "¡Sorpresa! El informe de supervisión de la Cámara de Representantes culpa a la dirección de la OPM por la violación de registros". 7 de septiembre de 2016. Consultado el 17 de septiembre de 2016 .
18. Mike Levine. "El hackeo de OPM fue mucho más profundo de lo que se reconoció públicamente y pasó desapercibido durante más de un año, según fuentes".
19. "La filtración de datos de empleados es más amplia que el informe inicial, dice Estados Unidos". Bloomberg.com . 12 de junio de 2015 – vía www.bloomberg.com.
20. Auerbach, David. "La violación de la OPM es una catástrofe".
21. Ken Dilanian, Sindicato: Los hackers tienen datos personales de todos los empleados federales, Associated Press (11 de junio de 2015).
22. Sanger, David E. (23 de septiembre de 2015). "Los piratas informáticos tomaron las huellas dactilares de 5,6 millones de trabajadores estadounidenses, según el gobierno". The New York Times . ISSN  0362-4331 . Consultado el 23 de septiembre de 2015 .
23. Paglieri, Jose (10 de julio de 2015). "OPM hack's unexpected haul: 1.1 million footprints" (El robo sin precedentes de la OPM: 1,1 millones de huellas dactilares) . Consultado el 11 de julio de 2015 .
24. Gallagher, Sean. "El cifrado "no habría ayudado" en la OPM, dice un funcionario del DHS".
25. Liptak, Kevin (4 de junio de 2015). "El gobierno de Estados Unidos fue atacado; los federales creen que China es el culpable". CNN . Consultado el 5 de junio de 2015 .
26. Devlin Barrett (24 de agosto de 2017). "Ciudadano chino arrestado por presuntamente usar malware vinculado al hackeo de la OPM". The Washington Post .
27. Steve Stecklow y Alexandra Harney, Exclusivo: El agente de malware detrás de los ataques cibernéticos en EE. UU. ahora enseña habilidades informáticas en China, Reuters (24 de diciembre de 2019).
28. David Auerbach , La violación de la OPM es una catástrofe: primero el gobierno debe reconocer su fracaso. Luego, los federales deben seguir este plan para solucionarlo, Slate (16 de junio de 2015).
29. Oficina de Administración de Personal, Oficina del Inspector General, Informe semestral al Congreso: 1 de octubre de 2014–31 de marzo de 2015.
30. Schmidt, Michael S.; Sanger, David E.; Perlroth, Nicole (10 de julio de 2014). "Los piratas informáticos chinos buscan datos clave sobre los trabajadores estadounidenses". The New York Times . Consultado el 29 de junio de 2015 .
31. Jackson, George. "Archuleta sobre el intento de violación y el USIS" . Consultado el 29 de junio de 2015 .
32. Davis, Julie H. (10 de julio de 2015). «Katherine Archuleta, directora de la Oficina de Gestión de Personal, dimite». The New York Times . Consultado el 10 de julio de 2015 .
33. Demasiada información: Una transcripción del programa del fin de semana en FOX News Channel (12 de julio de 2015).
34. Aaron Boyd (22 de junio de 2015). "OPM breach a failure on encrypted, detection" (La violación de la OPM es un error en el cifrado y la detección). Federal Times . Consultado el 17 de noviembre de 2015 .
35. "El organismo de control acusa a la OPM de obstaculizar la investigación de los ataques informáticos". Fox News . Consultado el 8 de agosto de 2015 .
36. "El jefe de ciberseguridad de la OPM dimite tras una filtración masiva de datos". USA Today . Consultado el 23 de febrero de 2016 .
37. Mathews, Lee. "La Oficina de Gestión de Personal sigue siendo vulnerable tres años después de un ataque masivo". Forbes .
38. "Las autoridades federales afirman que los ataques a las bases de datos de la OPM comprometieron a 22,1 millones de personas". The Washington Post. 9 de julio de 2015.
39. Julianne Pepitone, China es el "principal sospechoso" de los ataques a la OPM, dice el jefe de inteligencia James Clapper, NBC News (25 de junio de 2015).