De nuevo otro ciberataque llena de titulares periódicos de todo el mundo debido, principalmente, a la víctima. Nada menos que la Oficina de Gestión de Personal (OPM por sus siglas en inglés) del Gobierno de los Estados Unidos, algo así como una sección gigantesca de recursos humanos para agencias federales como el FBI.
Datos de millones de usuarios comprometidos
Según la información proporcionada hasta el momento por el OPM, este ataque habría afectado a los datos de alrededor de 4 millones de trabajadores federales, tanto trabajadores en activo como retirados. Entre la información almacenada y que podría haber sido obtenida por los atacantes se incluye la asignación laboral de los empleados, revisiones de rendimiento y entrenamientos específicos de cada puesto.
Esta intrusión habría estado activa entre el pasado mes de abril y principios de mayo, aunque no fue hasta esta pasada madrugada (hora española) que se ha hecho pública, una vez hubieron finalizado las investigaciones. El principal temor que tienen ahora los responsables de esta investigación es que la información robada sea utilizada para suplantar la identidad de los empleados federales o que estos sean víctimas de fraude.
Precisamente para evitar estas posibles consecuencias, la OPM ofrece a los trabajadores afectados un servicio de vigilancia y seguro frente al robo de identidad y fraude con tarjetas de crédito, a través de una empresa externa especializada en estos menesteres.
Según el Departamento de Seguridad Nacional, la detección de esta intrusión fue posible gracias a un sistema de nombre Einstein, capaz de detectar y prevenir intrusiones en sistemas críticos y que revisa el tráfico de red de las agencias federales para identificar amenazas potenciales.
China, el principal sospechoso
Como casi siempre que suceden este tipo de brechas de seguridad en empresas u organismos oficiales, no se ha tardado en buscar culpables. En esta ocasión, el principal sospechoso es uno de los países habituales (junto con Rusia y Corea del Norte) y no han tardado en aparecer las primeras voces que apuntan a China como responsable de este ataque.
Estas acusaciones se basan en las investigaciones de agentes federales y privados de empresas como FireEye. Se cree que las unidades de ciberataque chinas están detrás de esta intrusión al haberse relacionado con pruebas circunstanciales obtenidas, como el uso de determinadas herramientas y direcciones IP.
Por su parte, desde la embajada de China en Washington han alertado del peligro que supone llegar a conclusiones apresuradamente. Este mensaje es perfectamente comprensible debido a que China siempre se encuentra entre los países sospechosos cuando se trata de buscar responsables de este tipo de ataques. Además, China ya ha dicho en varias ocasiones que ellos también sufren ciberataques de forma continua.
Utilidad de los datos robados
Es posible que muchos se pregunten para qué quiere un atacante datos como los que se han robado en esta intrusión. Aparentemente no se han obtenido datos de tarjetas de crédito ni otra información de la cual se pueda obtener un beneficio de forma directa.
No obstante, debemos recordar que todo tipo de información es útil si se sabe aprovechar. El mayor temor de las agencias afectadas es que alguien utilice estos datos para suplantar a alguno de sus trabajadores y consiga acceder a información clasificada o que represente un riesgo para la seguridad nacional.
Por supuesto, también existe la posibilidad de que se apunte a los trabajadores federales como posibles víctimas de todo tipo de engaños y fraudes que terminen con el robo de dinero de sus cuentas. No obstante, esto sería más propio de ciberdelincuentes comunes y no casaría con la teoría de que sea un ataque perpetrado por otro estado.
Conclusión
Ya hemos visto en numerosas ocasiones que no hay datos que estén completamente seguros y que es importante avisar cada vez que se producen este tipo de ataques, para que los usuarios que han visto comprometida su información tomen las medidas necesarias.
Para eso es necesario que exista transparencia y se comuniquen estas brechas de seguridad lo antes posible, ya sea por parte de empresas privadas como de gobiernos y sus instituciones. Ocultar estos ataques tan solo consigue que los usuarios quedemos expuestos ante posibles ataques dirigidos, por lo que nunca debería ser una opción.