El Pentágono ha pagado a 'hackers' para que pongan a prueba la seguridad de sus sistemas internos, y la operación ha hecho aflorar vulnerabilidades más rápido de lo esperado, informa la agencia Bloomberg.
En un proyecto piloto lanzado el mes pasado, el Servicio de Defensa Digital del Departamento de Defensa de EE.UU. permitió a unos 80 investigadores de seguridad poner a prueba una herramienta simulada de transferencia de archivos que el departamento usa para enviar correos, documentos e imágenes sensibles entre sus redes, incluidas las clasificadas.
En medio de las crecientes preocupaciones del Gobierno estadounidense por la vulnerabilidad de sus sistemas cibernéticos, la empresa de cibersecuridad Synack Inc firmó en septiembre pasado un contrato de tres años por valor de 4 millones de dólares para llevar a cabo una caza de 'bugs' en todo el Pentágono. Esta empresa californiana entrevistó y empleó a un grupo de 'hackers' de EE.UU., Canadá, Australia y el Reino Unido, según contó Mark Kuhr, el director de tecnología de Synack y exanalista de la Agencia de Seguridad Nacional.
El programa mereció tanta atención que el personal del nuevo secretario de Defensa, James Mattis, fue instruido sobre el asunto el primer día de trabajo.
Metas, recompensas y medidas de precaución
Por razones de seguridad, el servicio digital reprodujo los sistemas de trasferencia de archivos en su 'polígono cibernético' y añadió capas de seguridad para garantizar que las computadoras de los 'hackers' no fueran comprometidas.
Los 'hackers' debían tratar de esquivar las protecciones de la herramienta de trasferencia de archivos, extraer datos de la red y asumir el control del sistema.
Synack, que ya había implementado programas de 'hackeo' semejantes en bancos y empresas que gestionan sistemas de pago, pagó a los 'hackers' en función de la gravedad de los problemas detectados. La mayor recompensa en esta última 'caza' fue de 30.000 dólares.
"Fue una sorpresa"
El primer informe de un 'hacker' que señalaba riesgos llegó horas después del inicio del programa el 11 de enero.
"Fue una sorpresa. Pensé ¿qué podemos esperar si tan pronto ya empezaban a aparecer cosas?", comentó a Bloomberg una de las responsables del programa, Lisa Wiswell.
Los funcionarios no revelan qué tipo de vulnerabilidades han sido detectadas, pero aseguran que los expertos en ciberseguridad ya están arreglando las brechas.
La investigación duró al menos hasta el 7 de febrero y se esperan más operaciones.