En un informe presentado ante el Congreso la semana pasada, la Casa Blanca dice que la cantidad de incidentes de ciberseguridad registrados en las agencias federales de EE. UU. en 2019 se redujo en un 8 %.
El informe fue compilado por la Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) de la Casa Blanca e incluyó datos sobre incidentes de seguridad que tuvieron lugar en decenas de agencias gubernamentales.
Las agencias federales deben informar los incidentes de seguridad cibernética a la OMB según las reglas de financiación pública establecidas por la Ley Federal de Modernización de la Seguridad de la Información (FISMA) de 2002.
Los incidentes de seguridad del gobierno de EE. UU. se reducen en un 8%
Según el informe FISMA de este año [PDF]las agencias federales de EE. UU. dijeron que sufrieron 28.581 incidentes de seguridad cibernética en 2019, un número que se redujo en un 8% desde los 31.107 incidentes informados en 2018.
La reducción en los incidentes de seguridad cibernética se produjo después de que las agencias federales de EE. UU. registraran menos incidentes derivados de ataques de phishing exitosos, compromisos de sitios web/aplicaciones web y pérdida de dispositivos, tres categorías principales que representaron una gran cantidad de todos los incidentes informados cada año.
Por otro lado, las agencias federales de EE. UU. vieron un aumento en los ataques de fuerza bruta, ataques ejecutados con medios extraíbles (dispositivos USB, discos duros externos) e incidentes causados por el uso indebido de un servicio o dispositivo de una agencia federal.
La Casa Blanca dijo que la gran mayoría de los incidentes no involucraban datos de usuarios y no necesitaban ser divulgados públicamente.
Todo el año pasado, en solo tres incidentes, los datos de los usuarios estuvieron involucrados y requirieron la divulgación pública del incidente, según el informe. Los tres incidentes incluyeron:
- Enero de 2019: la Agencia Federal para el Manejo de Emergencias (FEMA) compartió accidentalmente los datos personales de aproximadamente 895,000 sobrevivientes del desastre con una organización de voluntarios de Texas.
- Junio de 2019: un ataque de ransomware afectó a un contratista de lectores de matrículas utilizado por la agencia de Aduanas y Protección Fronteriza (CBP) de EE. UU., y los atacantes exfiltraron imágenes de matrículas e imágenes faciales de los conductores en sus automóviles.
- Diciembre de 2019: el sistema de Garantía de información del Sistema Nacional de Información para el Manejo de Emergencias (NEMIS-IA, por sus siglas en inglés) de FEMA compartió datos sobre las víctimas del desastre que necesitaban refugio temporal con un contratista externo. Los datos incluían información personal de aproximadamente 2,5 millones de sobrevivientes del huracán.
Las auditorías revelan exposición al phishing, mala aplicación de parches
El informe FISMA 2019 también incluyó los resultados de 71 auditorías de seguridad de activos de alto valor (HVA), sistemas críticos empleados por varias agencias federales.
Las evaluaciones de HVA consistieron en 204 hallazgos de la revisión de la arquitectura del sistema y 244 hallazgos de la evaluación de riesgos y vulnerabilidades (RVA).
«Estas evaluaciones revelaron que el Gobierno Federal continúa enfrentando desafíos para mitigar las vulnerabilidades básicas de seguridad», dijo el informe.
Estas «vulnerabilidades de seguridad básicas» incluían (1) agencias vulnerables a ataques de spear-phishing básicos, (2) mala gestión de parches, (3) reutilización de contraseñas de administrador, (4) valores predeterminados inseguros y (5) políticas que permitía el uso de contraseñas débiles.
Sin embargo, en general, la Casa Blanca concluyó positivamente que las agencias federales de EE. UU. mejoraron su postura y prácticas de seguridad cibernética el año pasado.
El informe citó la madurez de los Centros de Operaciones de Seguridad (SOC) y el aumento del presupuesto como algunas de las razones principales.
Según el informe FISMA 2019, las agencias federales de EE. UU. recibieron casi $ 17 mil millones en presupuestos de seguridad cibernética, y la mayoría de los fondos se destinaron al Departamento de Defensa (DOD) y al Departamento de Seguridad Nacional (DHS).
Los ciberdelincuentes más buscados por el FBI
