Un informe de investigación muestra cómo el servicio de inteligencia procesó datos técnicos durante años sin autorización. Pero no es culpa de los empleados. El liderazgo ha fallado.
El servicio de inteligencia persiguió ilegalmente a los ciberespías, y durante años nadie se dio cuenta.
Cuando los guardias de seguridad cazan ciberdelincuentes o espías digitales en Internet, necesitan intercambiar información. Esto incluye direcciones IP o nombres de dominio de los servidores desde los que operan los atacantes. Estos servidores pueden luego ser monitoreados, por ejemplo, para obtener más información sobre las acciones de los perpetradores o para identificar a las víctimas.
El Servicio Federal de Inteligencia (NDB) también necesita estos datos técnicos para su trabajo. Pueden provenir de servicios de socios en el extranjero, de empresas privadas de seguridad informática o de proveedores de Internet. Sin embargo, al menos algunos de estos indicios de un ataque, conocidos en la jerga técnica como Indicadores de Compromiso (IOC), están sujetos al secreto de las telecomunicaciones en Suiza. El FIS exige un permiso especial para cada tramitación. No los había alcanzado en el pasado.
La FIS ha violado así las disposiciones legales. Esta es la conclusión del exjuez federal Niklaus Oberholzer en su investigación, cuyos resultados presentó el lunes. Según el resumen del informe de 90 páginas, que fue clasificado como secreto y no publicado, el departamento cibernético de FIS había «obtenido y procesado datos ilegalmente» durante años.
Los empleados no actuaron intencionalmente.
Al mismo tiempo, Oberholzer pone en perspectiva la mala conducta del FIS. La información no eran datos personales particularmente dignos de protección, sino datos periféricos del tráfico de telecomunicaciones. Los datos también se analizaron puramente técnicamente y «no con respecto a elementos personales». Esto es totalmente consistente con la lógica de los indicadores técnicos: brindan información sobre las acciones de los atacantes, pero brindan poca información sobre las personas detrás de los ataques.
Oberholzer, que fue juez federal del SP, no ve conductas delictivas. Los empleados del FIS juzgaron mal la situación legal y no actuaron intencionalmente. Aparentemente asumieron que la FIS tenía derecho a «recibir informes de cualquier persona, siempre que la información se proporcionara voluntariamente».
Oberholzer, por su parte, critica claramente la dirección del FIS. El informe afirma inequívocamente que las medidas de control interno y supervisión han fracasado. El departamento cibernético del FIS ha desarrollado en gran medida una vida propia. Parece incomprensible que la dirección y en particular el jefe del departamento de información «no reconocieran la ilicitud de la práctica que se venía practicando desde hacía años».
También llama la atención que el FIS obviamente no lleva registros de su trabajo, o solo mantiene registros insuficientes. Oberholzer escribe que no se pudo reconstruir el alcance porque los procesos en el departamento cibernético «no se registraron ni documentaron sistemáticamente». Esta brecha también puede proporcionar munición para los críticos que sospechan que el FIS en general actúa de manera clandestina y fuera del marco legal, y que también quieren evadir el control efectivo.
La ciberdefensa FIS es actualmente limitada
El procedimiento ilegal tiene graves consecuencias para la ciberdefensa. Las actividades del Departamento Cibernético en el área afectada ya se suspendieron en la primavera de 2021. En el futuro, la simple obtención de un permiso para cada procesamiento no es una solución viable, como también señala Oberholzer. Dichos indicadores técnicos deben procesarse rápidamente para que los atacantes puedan combatirse de manera efectiva. Sin embargo, el proceso de aprobación puede llevar de días a semanas.
Por lo tanto, el informe de la investigación hace recomendaciones que el Departamento de Defensa ahora quiere examinar. Esto incluye ajustes organizativos y legales, o incluso la eliminación de los analistas afectados del FIS. Este centro de competencia forense para detección y análisis podría estar adscrito al Centro Nacional de Seguridad Cibernética (NCSC). En los próximos meses, esto se transformará en una oficina federal que se trasladará al Departamento de Defensa. Es posible que una reestructuración importante sea inminente aquí.