El Pentágono descubrió que los empleados del Departamento de Defensa (DoD) son culpables de usar sus teléfonos inteligentes comerciales de manera no autorizada, poniendo en riesgo la seguridad nacional.
Un informe (se abre en una pestaña nueva) del Inspector General del Departamento de Defensa (DoDIG), la agencia responsable de auditar el Departamento de Defensa, descubrió el uso de aplicaciones y servicios no autorizados en los teléfonos inteligentes de los trabajadores a gran escala.
Además, había poca infraestructura o políticas implementadas que permitieran al Departamento de Defensa controlar y administrar el uso de estos dispositivos, y los usuarios no recibieron la capacitación adecuada sobre su operación aceptable y segura.
Aplicaciones no autorizadas
Las aplicaciones no administradas, como las relacionadas con compras, juegos, VPN y, curiosamente, «aplicaciones de distribuidores de yates de lujo» se instalaron en teléfonos de trabajo, y se usaron aplicaciones de mensajería no aprobadas para comunicaciones oficiales, todo lo cual contraviene las regulaciones del Departamento de Defensa y presenta riesgos de seguridad cibernética.
El problema principal con respecto a estas aplicaciones, destacó el informe, es que a menudo tienen permisos que permiten el acceso a otra información almacenada en el teléfono, como listas de contactos, fotos y datos de GPS.
Otras aplicaciones también tenían explícitamente funciones maliciosas que se conocían o contenían contenido potencialmente inapropiado, como el relacionado con la transmisión de videos y los juegos de azar.
Más preocupante fue quizás la falta de supervisión citada en el informe, comentando que el Departamento de Defensa no manejó el uso de dispositivos de manera efectiva, ni advirtió a los empleados sobre los peligros potenciales del mal uso de los dispositivos de trabajo.
«El personal del Departamento de Defensa puede perder o eliminar intencionalmente comunicaciones importantes del Departamento de Defensa en aplicaciones de mensajería no administradas. Además, las aplicaciones móviles que el personal del Departamento de Defensa utiliza indebidamente o que están comprometidas por actores malintencionados pueden exponer información del Departamento de Defensa o introducir malware en los sistemas del Departamento de Defensa».
Las recomendaciones del informe en el futuro eran reenviar mensajes de aplicaciones de mensajería no autorizadas a sancionadas y eliminarlas, y que el acceso a las tiendas de aplicaciones públicas no debería otorgarse «sin una necesidad justificable».
También aconsejó que se redacte una lista de aplicaciones aprobadas para asuntos oficiales y que se actualicen las políticas relacionadas con el uso de teléfonos y aplicaciones, así como también se brinde capacitación «sobre el uso responsable y efectivo de dispositivos y aplicaciones móviles».
Ciertamente, esta no es la primera vez que el Departamento de Defensa recibe una reprimenda por su actitud relajada con respecto a la seguridad cibernética. En 2021, el exdirector del ala del Servicio Digital de Defensa del departamento sancionó el uso de «una aplicación móvil no administrada para negocios oficiales del Departamento de Defensa, en violación de las políticas de retención de registros y mensajes electrónicos del Departamento de Defensa».
Además, más recientemente, otra auditoría, esta vez del Departamento del Interior de los EE. UU., encontró que las prácticas de contraseñas eran bastante lamentables, y muchas se podían descifrar con bastante facilidad con métodos estándar de piratería.