A pesar de todo lo que ha estado sucediendo en estos últimos tiempos con proyectos secretos e iniciativas de espionaje, la idea de que las agencias gubernamentales no son el ejemplo más brillante de conocimiento informático se mantiene firme. Un caso revelado recientemente fue el de la Administración de Desarrollo Económico estadounidense. Tras recibir un reporte que indicaba la existencia de malware en sus sistemas, la agencia no sólo aisló completamente sus sistemas de forma arbitraria, sino que procedió a la destrucción física de terminales, teclados, cámaras, impresoras y ratones.
¿Cuál fue el monto final asociado al “daño” provocado por el malware? 2,7 millones de dólares. Admito que he visto a gente ponerse muy nerviosa frente una infección de malware relativamente sencilla. La falta de conocimiento, la necesidad de utilizar al ordenador, el factor del tiempo y la falta de dinero para pagar la reparación pueden colocar mucha presión sobre cualquier usuario. Pero cuando se trata de una agencia gubernamental, imaginamos otro nivel de organización, y una capacidad de respuesta más elaborada. Lamentablemente, hay ocasiones en los que la realidad nos enseña exactamente lo contrario. Veamos lo que sucedió en la Administración de Desarrollo Económico (EDA), que es parte del Departamento de Comercio de los Estados Unidos.
Esta agencia y la Administración Atmosférica y Oceánica Nacional (NOAA, también bajo el ala del Departamento de Comercio), recibieron en diciembre de 2011 una notificación del Departamento de Seguridad Nacional, que indicaba la posibilidad de una infección de malware en sus sistemas. NOAA detectó cuál era el problema, procedió a su corrección, y en un par de semanas el malware fue purgado. Sin embargo, la historia de la EDA va mucho más allá. La primera acción de la agencia fue un corte general, aislando a todos sus sistemas del resto del mundo. Esto llevó a la anulación de la plataforma de correo electrónico empresarial, dejando a sus oficinas regionales completamente incomunicadas.
El siguiente paso fue contactar a un contratista de seguridad, que diera garantías tanto de la eliminación del malware como de la robustez de sus sistemas en caso de una futura infección. Se encontró malware en un total de seis sistemas, que fueron purgados sin mayores inconvenientes, y el contratista declaró al resto de la infraestructura limpia, aunque no fue capaz de dar garantías adicionales. La paranoia y la falta de información adicional hicieron el resto: Ante la posibilidad de un ciberataque proveniente de una nación enemiga, el CIO de la agencia ordenó la destrucción física del hardware. Ordenadores libres de malware y completamente funcionales, impresoras, cámaras, teclados, y hasta ratones, fueron víctimas de este proceso.
¿Qué fue lo que detuvo a la EDA? Nada menos que la falta de presupuesto: Se quedó sin dinero para seguir pagando por la eliminación del hardware. Entre los gastos de consultoría, la adquisición temporal de infraestructura, el proceso de destrucción de los equipos, y el propio valor del hardware, el “tropezón” demandó más de 2,7 millones de dólares, y casi un año de trabajo. La catástrofe se atribuye a una seria falla de comunicación. En un comienzo, se advirtió a la EDA que más de la mitad de sus sistemas estaban infectados, cuando originalmente habrían sido apenas dos. Lo único que me queda por decir al respecto es: Agradezco que ese CIO no está a cargo de un silo nuclear.
