El Pentágono expande los alcances de su programa de reporte de vulnerabilidades

El Pentágono recibe un gran ciberataque de Rusia
El Pentágono recibe un gran ciberataque de Rusia

El programa ahora considerará los reportes de fallas en sistemas físicos

Especialistas en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética reportan que el Departamento de Defensa se encuentra en proceso de expandir su programa de recompensas por reporte de vulnerabilidades, conocido como “Hack the Pentagon”, para incluir activos de hardware, aprovechando las plataformas Synack, HackerOne y Bugcrowd para atraer más personalidades a este programa.

La noticia se ha dado a conocer dos semanas después de que la Oficina de Rendición de Cuentas del Gobierno (GAO) publicara un informe en el que se detallan problemas de ciberseguridad en algunos de los sistemas de armas en el Departamento de Defensa.

Un paquete que incluye un contrato por tres años y una cantidad indefinida que abarca a las tres organizaciones de reporte de errores atraerá a más hackers para verificar los sitios web, el hardware y los sistemas físicos del Departamento de Defensa.

“Encontrar formas innovadoras de identificar vulnerabilidades y fortalecer la seguridad nunca ha sido más importante”, dijo Chris Lynch, forense digital del Departamento de Defensa, en un comunicado. “Cuando nuestros adversarios llevan a cabo ataques maliciosos, no se detienen y no dejan de explorar todas sus posibilidades. La expansión de nuestro trabajo de seguridad y de colaboración nos permite construir un banco más profundo de talento tecnológico y ofrecer perspectivas más diversas para proteger y defender nuestros activos. Estamos entusiasmados de ver que el programa continúa creciendo y generando beneficios para todo el Departamento”.

Desde que se inició el programa Hack the Pentagon en 2016, los expertos en ciberseguridad y forense digital que han participado en él han reportado más de 5 mil vulnerabilidades de código, además han ejecutado seis demostraciones públicas, incluido el más reciente evento de ciberseguridad del Departamento de Defensa, Hack the Marine Corps, en agosto pasado. Otras sesiones de hacking se han centrado en los sistemas de la Fuerza Aérea, el Ejército y el Servicio de Viajes de la Defensa.

“En el entorno actual, el trabajo conjunto para la seguridad es fundamental porque todos los sistemas son vulnerables y existe un déficit masivo de recursos capacitados para atender estos incidentes”, dijo Ashish Gupta, CEO y presidente de Bugcrowd, en su blog personal. “Si bien no podemos controlar las acciones de nuestros adversarios, sí podemos controlar nuestros puntos más vulnerables. Pero sólo podremos hacer esto si conocemos lo suficiente nuestros sistemas”, mencionó.

De acuerdo con lo estipulado en el contrato, el gobierno espera que las compañías ejecuten al menos ocho muestras de tiempo limitado y cinco muestras continuas durante el primer año del contrato. Cada programa durará entre tres meses y un año completo. Las cantidades que ofrece el programa no han sido reveladas.

Quizás no sea sorprendente que el Pentágono esté expandiendo su enfoque para incluir sistemas físicos. La noticia de esta expansión se produce poco después de que la GAO calificó al Departamento de Defensa como “una unidad que apenas comienza a lidiar con la escala de vulnerabilidades” en su equipo militar ofensivo. Informó que en las pruebas aplicadas a los principales sistemas de armas en desarrollo, los evaluadores pudieron tomar el control de los sistemas “con relativa facilidad y operar en gran medida sin ser detectados”.

“Las armas del Departamento están más operadas por computadora que nunca, por lo que no es sorprendente que haya más vectores de ataque”, menciona el informe de la GAO. “Sin embargo, hasta hace relativamente poco tiempo, el Departamento de Defensa no había priorizado la labor de ciberseguridad”.

Para los expertos en forense digital, esta noticia representa un gran paso en la dirección correcta. “El Pentágono ha logrado un progreso significativo en esta área en los últimos años”, dijo Jim O’Gorman, experto en ciberseguridad. “Para continuar con este impulso positivo, deben seguir enfatizando la importancia de las pruebas e invertir en una mayor capacitación para desarrollar las habilidades de sus equipos de seguridad”.