El Departamento de Defensa de los Estados Unidos no posee herramientas de seguridad efectivas para evitar los ciberataques a los sistemas de armas que maneja, y según un informe oficial del gobierno estadounidense, "casi todos" los sistemas de armas, entre ellos misiles, aviones y barcos, han sido susceptibles de ser 'hackeados'.
Un informe elaborado por la Oficina de Fiscalización General de Gobierno de los Estados Unidos (GAO) ilustra los problemas que el Departamento de Defensa tiene en ámbitos de ciberseguridad tales como la protección, detección, respuesta y reparación ante 'hackeos'.
En la investigación se recoge que "casi todos" los dispositivos investigados entre los años 2012 y 2017 poseían fallos de seguridad que permitían 'hackeos' a su armamento controlado a través de sistemas informáticos.
Las vulnerabilidades han afectado tanto a programas informáticos como a "sistemas ciber-físicos" separados de tierra y controlados mediante 'software', que pueden afectar al mundo físico y suponen un serio riesgo. Ejemplos de esto son los misiles cuya trayectoria se controla a distancia y tanto barcos como aviones y dispositivos aéreos configurados desde tierra.
En las evaluaciones realizadas, los investigadores fueron capaces de conseguir acceso y controlar los sistemas mediante el uso de herramientas simples, ya que según el informe, "en algunos casos, el simple escaneo provocó que partes del sistema se cerrasen". Después de acceder, se pueden conseguir los permisos necesarios para controlar los dispositivos.
El informe explica que no se han desarrollado herramientas de defensa para ataques realizados desde dentro o desde cerca de los dispositivos, y ofrece ejemplos de cómo los equipos de investigación fueron capaces de copiar, cargar o borrar datos de los sistema, ya que alguno de estos "descargó 110 gigabytes, 142 discos de datos".
Las contraseñas utilizadas por aquellos que manejan los sistemas también suponen problemas. Muchas de las armas utilizadas poseen sistemas de 'software' de código abierto y las contraseñas que presentan no se cambian una vez instalado el programa, lo que permite consultarla en Internet y conseguir así permisos de administrador. La agencia autora asegura haber podido averiguarlas en solo nueve segundos.
En cuanto a la respuesta ante vulnerabilidades, el informe declara que las soluciones a ciberataques ya identificados en evaluaciones de seguridad previas no fueron incorporadas a los sistemas, por lo que aún después haber identificado un ataque, no se puede actuar contra él. En consonancia con esto, durante una de las pruebas recogidas en el informe se indica que solo una de cada veinte vulnerabilidades identificadas previamente se corrigen.
Estos problemas se agravan por la detección tardía de los ataques, con investigadores que pusieron a prueba los sistemas durante semanas sin ser detectados. Además, trabajadores del Departamento de Defensa comentan que en ocasiones "no sospecharon de un ciberataque porque las caídas sin explicación eran normales en el sistema".
La dependencia cada vez mayor de 'software' externo provocan que las herramientas armamentísticas sean más propensas a los ciberataques, según el informe. La mayoría de sistemas que maneja Estados Unidos están conectados a una red, en algunos casos incluso pública, que se puede utilizar para infectar dispositivos.
Otro aspecto a tener en cuenta es que estas armas tienen particularidades a nivel de ciberseguridad, pues el Departamento de Defensa reconoce que en estos sistemas no se puede aplicar la misma ciberseguridad que en sistemas tradicionales.
La complejidad de los sistemas provoca que no se hayan desarrollado herramientas de seguridad firmes todavía en esta materia, y algunas oficinas de programas todavía no conocen cómo aplicar las herramientas de ciberseguridad, concluye la investigación.