- Una lectura interna del DHS mostró que los analistas descartaron dos veces las alertas de intrusión como falsos positivos en las redes de intercambio de datos HSIN.
- Esto efectivamente les dio a los piratas informáticos alrededor de tres semanas de acceso no detectado antes de que se anunciara la infracción el 4 de junio de 2026.
- Los atacantes aún anónimos modificaron archivos del servidor, ejecutaron código malicioso a través de un programa de servidor web legítimo, eliminaron registros, instalaron puertas traseras y robaron archivos de certificados.
Los piratas informáticos lograron ingresar a la principal plataforma de intercambio de datos del Departamento de Seguridad Nacional de EE. UU., obteniendo acceso ilimitado a la red HSIN que alberga información no clasificada en la que confían múltiples agencias estadounidenses e internacionales.
El truco permite a los atacantes modificar archivos del servidor, ejecutar códigos maliciosos y robar archivos de credenciales mientras instalan puertas traseras y eliminan registros para borrar su huella digital.
Sus movimientos fueron señalados dos veces por sistemas automatizados y analistas en mayo de 2026, antes de ser descartados como falsos positivos cada vez antes de que se declarara una infracción activa un mes después.
¿Los malos tiempos se combinan con malas prácticas de seguridad?
El momento y las características específicas de estas intrusiones, en particular, podrían resultar embarazosos para el gobierno de Estados Unidos.
La red HSIN no sólo sirve como una herramienta clave para compartir inteligencia para socios nacionales e internacionales durante la Copa Mundial de la FIFA, sino que también alberga información sobre otros eventos importantes como las Américas250.
El hecho de que el hackeo fuera señalado no una, sino dos veces antes de ser descartado como un falso positivo plantea preocupaciones sobre el mérito en un caso que ya ha despertado interés, con el personal del Comité de Seguridad Nacional de la Cámara de Representantes ya solicitando una sesión informativa sobre la intrusión.
El DHS, por su parte, está restando importancia al incidente, y un portavoz lo confirma, pero lo caracteriza de manera estricta: el departamento está “consciente de un incidente cibernético reciente que involucra un entorno de intercambio de información heredado específico y no clasificado” y dice que no hay indicios de que las redes clasificadas se hayan visto afectadas.
Esta opinión ha sido contradicha por el vicepresidente del Comité de Inteligencia del Senado, Mark Warner, quien ha argumentado que la sensibilidad de la plataforma excede su nivel de clasificación, diciendo que la información de HSIN, “aunque no clasificada, es altamente sensible y su divulgación pone en riesgo la seguridad nacional”.
Los investigadores aún tienen que identificar o atribuir la responsabilidad a un grupo u organización de piratería específica, lo que aumenta la confusión a la hora de determinar el motivo. Los piratas informáticos han eliminado los registros en el servidor, lo que aumenta la confusión aquí.
efecto principal
La pregunta importante, tal vez, no es cómo ocurrió la violación, sino por qué la confusión y la caracterización errónea de la falla de seguridad permitieron que se convirtiera en un problema mucho mayor de lo que hubiera sido si se hubiera contenido desde el principio. Si bien los analistas y las banderas de seguridad destacaron la violación ya el 15 de mayo, los piratas informáticos ciertamente tuvieron rienda suelta para operar al menos hasta el 3 de junio gracias a que los primeros informes fueron descartados como falsos positivos.
HSIN como plataforma gestiona la planificación de seguridad de eventos, la coordinación interinstitucional, información sobre amenazas y detalles de personas de interés. Aún se desconoce si parte de ese material fue realmente copiado. Los investigadores no han determinado qué fraude se cometió, si es que se cometió algo, aunque el robo del archivo de credenciales habla por sí solo: los atacantes que roban credenciales están, casi por definición, tratando de llegar a sistemas y cuentas más allá de su punto de apoyo inicial.
Esta no es la primera vez que HSIN se ve comprometido, con dos incidentes anteriores documentados que incluyeron una cuenta comprometida en 2009 y un acceso mal configurado en 2023, lo que resultó en violaciones intencionales y no intencionales de la red.
El problema sólo se ve exacerbado por el hecho de que el DHS, junto con su agencia de ciberseguridad, CISA, ha experimentado una importante escasez de personal durante el año pasado, lo que podría debilitar sus defensas contra ataques sofisticados que requieren intervención humana manual o supervisión para detectarlos, incluso con las señales correctas (que ya se han activado según lo previsto).
Esta escasez de mano de obra también ha polarizado políticamente al Congreso de los EE.UU. y puede destacarse en los próximos días cuando el departamento proporcione más detalles sobre el hackeo, incluso cuando el Pentágono se ocupa de sus propios asuntos OPSEC que se están ventilando en el mismo foro.
a través de Defensa uno
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.