Un informe de ProPublica revela que durante casi una década, ingenieros de Microsoft en China tuvieron acceso a sistemas críticos del Departamento de Defensa de EE. UU., lo que representa una grave brecha de seguridad. Este acceso fue parte del soporte técnico global de Microsoft y no resultó de un ciberataque, aunque permitió que ciudadanos de un país con antecedentes de espionaje accedieran a datos sensibles. La situación destaca la vulnerabilidad en la gestión de ciberseguridad y la dependencia del gobierno estadounidense en proveedores tecnológicos externos. Se requieren medidas urgentes para reforzar los controles sobre el acceso a información clasificada y mejorar la transparencia en las contrataciones. Para más detalles, visita el enlace.
Un reciente informe de ProPublica ha puesto de manifiesto una seria brecha de seguridad en el Departamento de Defensa de Estados Unidos (DoD). Durante casi diez años, ingenieros de Microsoft radicados en China han tenido acceso a sistemas críticos en la nube del Pentágono. Este acceso no fue resultado de un ciberataque o una infiltración encubierta, sino que fue concedido formalmente como parte del modelo global de soporte técnico de la compañía tecnológica.
Los ingenieros chinos se encargaron de tareas de mantenimiento en sistemas que manejan datos clasificados como de "Alto Impacto", lo que incluye información sensible sobre operaciones militares. Aunque estos técnicos estaban teóricamente supervisados por personal estadounidense, quienes debían ingresar manualmente los comandos proporcionados por ellos, muchos carecían de la formación técnica necesaria para identificar amenazas o instrucciones maliciosas.
Este modelo representa una vulnerabilidad crítica para la seguridad nacional estadounidense. A pesar de que el DoD establece requisitos estrictos sobre ciudadanía o residencia para el personal con acceso a datos sensibles, el esquema de externalización implementado por Microsoft permitió sortear estas normativas. En consecuencia, Estados Unidos terminó confiando el acceso a sistemas vitales a ciudadanos de un país con un historial comprobado de espionaje y ciberataques contra intereses estadounidenses.
Este caso ilustra los riesgos asociados a la dependencia del gobierno federal en proveedores tecnológicos privados que, por razones económicas, trasladan funciones esenciales a regiones donde existen adversarios estratégicos. Esta dependencia se suma a un preocupante historial de intrusiones por parte de China.
En diciembre pasado, hackers vinculados al gobierno chino lograron vulnerar BeyondTrust, una firma que proporciona servicios de ciberseguridad a diversas agencias estadounidenses, accediendo incluso a estaciones de trabajo del Departamento del Tesoro. Además, China ha sido acusada de hackear los sistemas de correo electrónico de Microsoft, robando documentos oficiales, entre ellos correos electrónicos pertenecientes a la secretaria de Comercio, Gina Raimondo.
La trayectoria china en el ámbito del espionaje cibernético es extensa. En marzo, el Departamento de Justicia estadounidense presentó cargos contra varios hackers relacionados con el Ministerio de Seguridad del Estado chino por robar datos sensibles pertenecientes a contratistas del sector defensa. Asimismo, se ha señalado que China obtuvo información ilegalmente sobre el caza F-35 estadounidense, lo cual facilitó el desarrollo acelerado del avión J-31.
Aparte del espionaje convencional, China ha adoptado una estrategia más sofisticada conocida como "preparación operativa del campo de batalla", que consiste en infiltrarse proactivamente en infraestructuras críticas estadounidenses. Campañas como "Salt Typhoon", "Volt Typhoon" y "Flax Typhoon" han atacado redes eléctricas y sistemas ferroviarios, insertando puertas traseras que podrían ser activadas en caso de conflicto.
Este escándalo revela fallas estructurales en los procesos de contratación pública y en la gestión general de la ciberseguridad nacional. Para evitar futuras exposiciones similares, es imperativo que tanto el Congreso como el Poder Ejecutivo refuercen los controles sobre la cadena tecnológica. Esto debe incluir prohibiciones explícitas para trabajadores provenientes de países considerados adversarios respecto al acceso a datos clasificados sin cumplir con rigurosas medidas de seguridad.
Además, se requiere urgentemente invertir en una fuerza laboral especializada en ciberseguridad, capaz y confiable para asumir internamente las funciones actualmente externalizadas. También deben establecerse mayores niveles de transparencia entre contratistas y subcontratistas, obligándolos a revelar si emplean ciudadanos extranjeros o personal ubicado en países considerados amenazas.