WASHINGTON (AP) — Años de fallos fundamentales de seguridad dejaron a la agencia de personal del gobierno vulnerable a dos ataques informáticos que han expuesto información privada de casi todos los empleados federales, junto con detallados expedientes personales de millones de personas con acreditaciones de seguridad, según admitieron el martes varios funcionarios ante el Congreso.
Demócratas y republicanos en el Comité de Supervisión y Reforma del Gobierno mostraron un frente unido al recriminar a los responsables de la Oficina de Gestión de Personal (OPM, en sus siglas en inglés), la agencia atacada el año pasado en dos grandes ataques informáticos revelados hace poco.
«Ustedes fracasaron de forma total y absoluta», afirmó el presidente del comité, Jason Chaffetz, representante republicano de Utah.
También llegaron críticas de dentro. Michael Esser, inspector general asistente para auditorías de la agencia, habló ante el comité de varios años en los que la agencia no logró alcanzar los estándares federales de seguridad informática. Durante mucho tiempo, dijo, los responsables de tecnología de la información en la agencia no tenían los conocimientos necesarios. Estos problemas hicieron de la agencia especialmente vulnerable al ciberataque, dijo.
En noviembre, una auditoría del inspector general recomendó que la agencia desconectara algunas de sus redes por lo vulnerables que eran, testificó Esser. La directora Katherine Archuleta, rechazó la petición, diciendo que interferiría con la misión de la agencia.
Los atacantes ya estaban en sus redes para entonces, admitió después.
«Le recomendaron que lo cerrara por lo mal que estaba, y usted no lo hizo», dijo Chaffetz.
Archuleta, que titubeó en ocasiones ante las duras preguntas de los legisladores, intentó defender su mandato y mostrar los problemas de la agencia como una cuestión que se remontaba a varias décadas. Pareció atribuir la responsabilidad a sus últimos predecesores, uno de los cuales, John Berry, es el embajador estadounidense en Australia.
Cuando se le ofrecieron oportunidades de disculparse y dimitir, rechazó ambas cosas.
Chaffetz dijo que las dos filtraciones «podrían ser el ciberataque más devastador en la historia de nuestra nación», y que la política de seguridad de la Oficina de Administración de Personal era similar a dejar puertas y ventanas abiertas y esperar que no se robaran nada.
«Estoy tan consternada como ustedes por el largo tiempo en que se descuidaron estos sistemas», dijo Archuleta, añadiendo en un momento dado que «todo el gobierno es responsable y resolver el problema nos implicará a todos».
Archuleta y otros testigos ofrecieron pocos detalles nuevos sobre los robos en la audiencia pública, y dirimieron la mayoría de las preguntas sobre métodos y daños a una sesión posterior clasificada.
Tras esa sesión, el congresista Elijah Cummings de Maryland, el demócrata de mayor rango en el comité, exigió que el comité escuchara el testimonio de dos contratistas de OPM, KeyPoint t USIS, que fueron víctimas de ataques informáticos el año pasado. Antes, Cummings y otros representantes preguntaron si la red de OPM se vio comprometida primero a través de ataques a los contratistas, y miembros de la OPM declinaron responder.
En la sesión abierta, Donna Seymour, responsable de información de la agencia afectada, confirmó que la información personal de 4,2 millones de empleados federales actuales y pasados no sólo quedó al descubierto, sino que fue robada.
Todavía se desconoce cuántas personas con acreditación de seguridad se vieron afectadas por el robo, señaló. Pero esos registros se remontan a 1985 e incluyen contratistas además de empleados federales. Algunos miembros del gobierno estiman que el número podría alcanzar los 14 millones de personas.
Y como sus solicitudes para una acreditación de seguridad contienen información personal sobre amigos y familiares, los datos de esas personas también son vulnerables.
Tras la audiencia a puerta cerrada, el ex agente encubierto de la CIA y actual representante republicano por Texas Will Hurd dijo tener claro que los fallos de ciberseguridad de la OPM habían sido un factor clave para el éxito del ataque, así como en que pasaran meses antes de descubrirlo. (I)
Por KEN DILANIAN, Associated Press.