La NASA nos suele ofrecer, con bastante asiduidad, espectaculares imágenes del espacio, de los lanzamientos de sus naves o de algunos de sus proyectos como pueden ser sus robots. Sin embargo, la agencia espacial estadounidense también es conocida por los repetidos fallos de seguridad en sus sistemas de información que han puesto en riesgo sus satélites o a la Estación Espacial Internacional. Entre las vulnerabilidades de sus redes, las deficiencias en su procedimiento de borrado de datos de equipos retirados del uso y el no cifrado de los datos almacenados en los discos duros de los ordenadores portátiles de sus empleados ha sacado los colores en más de una ocasión a esta agencia que, teóricamente, maneja información clasificada. Precisamente, esta semana se ha conocido un nuevo caso de fuga de información de la agencia al haberle sido sustraído a un empleado el portátil que guardaba en su coche y que, por cierto, tenía la información sin cifrar.
Dejar nuestro ordenador en el coche y que alguien fuerce la cerradura o rompa el crista de una ventanilla para robar el portátil es algo que nos puede pasar a cualquiera en cualquier lugar del mundo, sin embargo, si el portátil almacena información sensible sobre personal de la NASA y documentos confidenciales sobre proyectos que se están realizando con contratistas externos, el panorama se torna bastante gris.
Alguien podría pensar que, tratándose de la NASA, el portátil contaría con extremas medidas de seguridad (biometría, cifrado de datos, etc); sin embargo, los responsables de la agencia están bastante preocupados porque la única medida de seguridad es una contraseña de acceso puesto que los datos están sin cifrar, es decir, el disco duro es suceptible de sacarse y llevarse a cualquier carcasa USB o arrancar el equipo con algún Live CD para ver qué datos hay almacenados.
Ante esta fuga de seguridad, que por cierto se produjo el pasado 31 de octubre, la NASA envió el martes un comunicado a sus empleados informando de los sucedido:
El 31 de octubre de 2012, un portátil de la NASA y varios documentos oficiales que manejaba un empleado de nuestra sede principal fueron sustraídos de su vehículo. El portátil contenía registros con información de carácter personal de un buen número de empleados de la NASA, proveedores y otras personas. Aunque el portátil estaba protegido por contraseña, el disco duro no estaba cifrado, por tanto, la información podría ser accesible para personas no autorizadas. Estamos evaluando cuidadosamente el incidente y lo estamos investigando además de tomar las medidas oportunas para mitigar los riesgos o molestias para los empleados afectados
Según parece, dentro de las medidas de seguridad que estaba aplicando la NASA, el cifrado de la información de los portátiles era una de las que se estaban llevando a cabo y ¿entonces? ¿por qué ese portátil no estaba cifrado? La respuesta es simple y demoledora: el proyecto para el cifrado de la información tiene su deadline el 21 de diciembre y, por lo que se ve, a este equipo aún no le tocaba.
Un caso bastante sorprendente.