Un reciente informe de ProPublica, publicado el 15 de julio, ha puesto de manifiesto una grave brecha de seguridad en el Departamento de Defensa de Estados Unidos (DoD). Durante casi diez años, ingenieros de Microsoft con sede en China han tenido acceso a sistemas críticos del Pentágono, lo que plantea serias preocupaciones sobre la integridad de la infraestructura nacional.
Lo alarmante es que este acceso no fue resultado de un ciberataque, sino que fue autorizado formalmente como parte del soporte técnico global ofrecido por Microsoft. Estos ingenieros se encargaron del mantenimiento de sistemas que gestionan datos clasificados como "Alto Impacto", incluyendo información sensible sobre operaciones militares.
Supervisión insuficiente y vulnerabilidades críticas
A pesar de que estos técnicos estaban supuestamente supervisados por "escoltas digitales", los funcionarios estadounidenses que ingresaban manualmente los comandos proporcionados por ellos carecían frecuentemente de la formación técnica necesaria para identificar amenazas o instrucciones maliciosas.
Este modelo representa una vulnerabilidad significativa para la seguridad nacional. Aunque el DoD establece estrictos requisitos de ciudadanía o residencia para el personal con acceso a datos clasificados, el esquema de externalización implementado por Microsoft permitió evadir estas normativas.
De este modo, Estados Unidos terminó confiando el acceso a sistemas críticos a ciudadanos de un país conocido por su historial en espionaje y ciberataques contra intereses estadounidenses, especialmente durante administraciones demócratas.
Dependencia tecnológica y riesgos asociados
El caso subraya los peligros inherentes a la dependencia del gobierno federal en proveedores tecnológicos privados que, en busca de eficiencia económica, trasladan funciones esenciales a regiones donde existen adversarios estratégicos. Esta situación se suma a un patrón preocupante de intrusiones chinas en las infraestructuras estadounidenses.
En diciembre pasado, hackers chinos lograron vulnerar BeyondTrust, una empresa proveedora de ciberseguridad para diversas agencias gubernamentales, accediendo incluso a estaciones de trabajo del Departamento del Tesoro. Además, han sido acusados de hackear los sistemas de correo electrónico de Microsoft, robando documentos oficiales, incluidos correos electrónicos pertenecientes a la secretaria de Comercio, Gina Raimondo.
Estrategias avanzadas y necesidades urgentes
China posee una larga trayectoria en espionaje cibernético contra Estados Unidos. En marzo, el Departamento de Justicia estadounidense presentó cargos formales contra varios hackers vinculados al Ministerio de Seguridad del Estado chino por el robo de datos sensibles relacionados con contratistas defensivos. Asimismo, se ha reportado que China obtuvo ilegalmente información sobre el caza F-35 estadounidense, facilitando así el desarrollo acelerado del J-31, su propio avión de combate.
Aparte del espionaje convencional, Beijing ha adoptado estrategias más sofisticadas bajo la denominación "preparación operativa del campo de batalla", que implica infiltraciones preventivas en infraestructuras críticas estadounidenses.
Llamado a la acción y reformas necesarias
Campañas como "Salt Typhoon", "Volt Typhoon" y "Flax Typhoon" han atacado redes eléctricas y sistemas ferroviarios e hidráulicos, insertando puertas traseras que podrían ser activadas en un eventual conflicto. Este escándalo resalta fallas estructurales tanto en los procesos de contratación pública como en la gestión general de la ciberseguridad nacional.
Para evitar futuras exposiciones similares, es imperativo que tanto el Congreso como el Poder Ejecutivo refuercen los controles sobre la cadena de suministro tecnológica. Esto incluye prohibir explícitamente que trabajadores basados en países adversarios tengan acceso directo o indirecto a datos clasificados sin cumplir con estrictas medidas de seguridad.
Además, resulta urgente invertir en una fuerza laboral especializada y confiable en ciberseguridad capaz de asumir internamente funciones actualmente externalizadas. También se deben establecer mayores niveles de transparencia para contratistas y subcontratistas respecto al uso potencial de ciudadanos extranjeros o personal ubicado en países considerados amenazantes.
Si (
No(
