Ciberseguridad: la NASA también busca en Google (como tú) qué programas utilizar y es más peligroso de lo que parece

Es para muchos el ‘cracker’ más sobresaliente de la historia. Cuando era solo un quinceañero, Jonathan James, más conocido en internet como ‘c0mrade’, se coló en los servidores de la NASA y sustrajo ‘software’ vital para el funcionamiento de la Estación Espacial Internacional, obligando a la agencia a mantener sus sistemas apagados durante 21 días hasta que pudo resolver el incidente. Se convirtió no solo en toda una celebridad, sino también en el primer adolescente en cumplir condena por delitos informáticos en los Estados Unidos.

Aunque aquello sucedió en 1999 y han pasado casi dos décadas, la seguridad de los sistemas de la NASA sigue estando en tela de juicio. A juzgar por las conclusiones de la recientemente publicada auditoría del Centro de Operaciones de Seguridad de la NASA (SOC, por sus siglas en inglés), un ‘c0mrade’ contemporáneo tampoco lo tendría mucho más difícil para sortear las defensas del organismo.

Tal y como se explica en dicho informe, la gestión de la ciberseguridad en la NASA es una tarea “altamente descentralizada” que involucra a la sede central y un mínimo de nueve centros. Por esa razón, en noviembre de 2008 se creó el citado SOC, cuya misión es “identificar y responder amenazas de seguridad que afecten a los sistemas informáticos y redes de la NASA a nivel de agencia”. Su presupuesto es de 14,7 millones de dólares y su plantilla está compuesta por 10 funcionarios de la NASA y 36 contratistas.

“Desde su creación hace una década, el SOC se ha quedado lejos de cumplir con su intención inicial de ser la espina dorsal de la ciberseguridad de la NASA”, afirma el informe. La incapacidad de la agencia para establecer una estructura organizativa eficiente en el ámbito de las tecnologías de la información y los constantes cambios de liderazgo en la Oficina del CIO (OCIO, por sus siglas en inglés), de la que depende jerárquicamente el SOC, “han limitado su capacidad para coordinar la supervisión de la seguridad informática de la agencia y desarrollar nuevas capacidades para abordar las ciberamenazas emergentes”.

En estos diez años, nueve personas diferentes han pasado por el cargo de mayor responsabilidad en la OCIO, del que depende la línea de actuación del Centro de Operaciones de Seguridad. “La frecuente rotación en este puesto ha resultado en un constante cambio de prioridades y de rumbo de la gestión”, señala la auditoría.

Otro de los principales problemas es que la SOC no dispone de acuerdos o herramientas de cooperación con muchos centros de la NASA. Ni está claro hasta dónde llega su autoridad para tomar decisiones. “En su lugar, el SOC confía en acuerdos informales y relaciones personales (con diversos grados de éxito)”, describe el documento”, lo que, una vez más, “limita la capacidad del SOC para responder a ciberataques y proteger proactivamente los activos tecnológicos de la NASA”.

Pero no es la única deficiencia grave que las auditorías han localizado en la ciberseguridad de la NASA. Lo más alarmante es que un segundo documento, que analiza la cadena de suministro de la agencia para determinar cómo escoge el ‘software’ que contrata, ha determinado que a menudo se escogen las herramientas informáticas del mismo modo que lo haría un usuario doméstico: buscando en Google.

“El proceso de evaluación de riesgos de la NASA, cuando se sigue, consiste a menudo en una revisión superficial de información pública obtenida a través de búsquedas en internet o afirmaciones no verificadas de fabricantes o proveedores”, afirma el auditor, como única garantía de “que los productos o servicios informáticos que se adquieren no representan un riesgo de ciberespionaje o sabotaje”. Además, la investigación ha determinado que la agencia espacial no siempre se coordina con el FBI al revisar la seguridad del ‘software’ de terceros que utiliza.

En otras palabras, cuando la NASA decide si paga o no por una tecnología, primero la busca en Google, como el común de los mortales, para saber si puede ser peligrosa. La diferencia es que la agencia se dedica, entre otras cosas, a mandar astronautas al espacio. En los próximos años tiene prevista una nueva misión para llegar a la Luna y ya trabaja en llegar a Marte en el futuro. Que los sistemas informáticos de los que van a depender estas misiones estén libres de vulnerabilidades podría ser fundamental para su éxito.

De ahí que los responsables de las auditorías también hagan una serie de recomendaciones para corregir las deficiencias de la NASA en materia de ciberseguridad. Además de establecer la estructura y los canales de cooperación adecuados para que el SOC pueda desempeñar la labor para la que fue concebido, proponen que se realice una adecuada revisión, mano a mano con el FBI y la Oficina de Contrainteligencia de la NASA, del software de terceros que ya se ha adquirido, así como de los procedimientos de evaluación de riesgos de la agencia de cara al futuro.