Dos legisladores estadounidenses pidieron hoy que se lleve a cabo una investigación independiente sobre el presunto ciberataque que la Comisión Federal de Comunicación dice que afectó su sistema de comentarios públicos en mayo.
En una carta obtenida por Gizmodo, el senador Brian Schatz y el congresista Frank Pallone Jr. pidieron a la Oficina de Rendición de Cuentas del Gobierno que llevara a cabo una revisión exhaustiva de las prácticas de seguridad cibernética de la FCC para evaluar qué evidencia apoya su afirmación de que actores maliciosos atacaron los sistemas de la agencia, y para determinar si su respuesta estaba en concordancia con las mejores prácticas y recomendaciones del Departamento de Seguridad Nacional de Estados Unidos.
Funcionarios de la FCC, incluido su presidente Ajit Pai, afirman que el 8 de mayo, la agencia fue blanco de múltiples ataques distribuidos de denegación de servicio (DDoS). Se dice que los supuestos ataques han sobrecargado temporalmente el sistema electrónico de comentarios (ECFS, por sus siglas en inglés), el sitio web utilizado para recabar comentarios del público estadounidense sobre los planes de la agencia para revertir las reglas de la era Obama que imponen la neutralidad de la red.
Esas reglas hacen que sea ilegal para los proveedores de Internet bloquear o ralentizar arbitrariamente el tráfico a los sitios web cada vez que elijan, e imponer tarifas a los servicios en línea a cambio de proporcionar a los consumidores acceso a su contenido.
La declaración de ciberataque de la FCC se ha visto enfrentada a un escepticismo intenso. El ECFS se volvió inaccesible casi inmediatamente después de que el comediante John Oliver, presentador de 'Last Week Tonight' de HBO, dirigiera a su público a inundar la agencia con comentarios que respaldan la neutralidad de la red. La agencia se ha negado a proporcionar una prueba definitiva de que un DDoS fue el responsable, incluso en respuesta a las peticiones de los senadores estadounidenses Schatz y Ron Wyden. En respuesta a una solicitud de la Ley de Libertad de Información [FOIA] de Gizmodo, la FCC se negó a hacer público cualquier análisis del supuesto incidente.
El llamamiento de los legisladores para revisar la declaración de DDoS de la FCC sigue una investigación de Gizmodo que reveló que un alto funcionario de la FCC informó a un periodista de ciberseguridad información falsa sobre un "ataque" de junio de 2014 en el sistema de comentarios. El funcionario, ex director de información de la FCC, David Bray, dijo en privado al reportero que el ECFS había sido "hackeado" por "actores maliciosos", a pesar de que el equipo de seguridad que trabajaba bajo él había determinado que no había evidencia que apoyara tal afirmación. El tiempo de inactividad del sistema de comentarios también siguió a un segmento de HBO en el que John Oliver dirigió a sus espectadores hacia el sitio web de la agencia.
Bray, que dejó la FCC este verano, también fue el primer oficial en anunciar que el ECFS había sido atacado este año.
"Si bien la FCC y el FBI han respondido a las investigaciones del Congreso sobre estos ataques DDoS, no han publicado ningún registro o documentación que permita confirmar que se produjo un ataque, que se lo trató efectivamente y que la FCC ha comenzado a implementar medidas para frustrar futuros ataques y asegurar la seguridad de sus sistemas", escribió el senador Schatz y el congresista Pallone en una carta dirigida a Gene Dodaro, el Contralor General de Estados Unidos.
Como resultado, los legisladores dijeron, "todavía quedan preguntas sobre el ataque en sí y, más en general, sobre el estado de la ciberseguridad en la FCC, preguntas que justifican una revisión independiente".
Una lista de la preguntas ofrecida por los legisladores incluye: (1) "¿Qué evidencia proporcionó el equipo de seguridad al CIO de la FCC, David Bray, antes de su declaración a la prensa el 8 de mayo?", (2) "¿Qué evidencia adicional recopiló la FCC para apoyar sus conclusiones después de esa declaración?, y (3) "¿Qué documentación desarrolló la FCC durante su investigación de este ataque denunciado?, y ¿ha hecho algún informe luego del suceso u otras evaluaciones que ayudarían a la FCC a enfrentar futuros ataques de esta naturaleza?".
Ambos demócratas, el senador Schatz es el miembro de alto rango del Subcomité de Comercio del Senado en Comunicaciones, Tecnología, Innovación e Internet; y el miembro del Congreso Pallone es el miembro de alto rango del Comité de Energía y Comercio de la Cámara.
Schatz y Pallone dicen que el incidente del 8 de mayo ha planteado serias dudas sobre la "vulnerabilidad general del ECFS", y preguntan si otros sistemas de datos de cara al público están en riesgo. "¿Ha evaluado la FCC la seguridad de sus otros sistemas informáticos de cara al público a la luz del ataque del 8 de mayo? ¿Ha tomado medidas para mitigar cualquier vulnerabilidad en esos sistemas?", escribieron los legisladores.
La carta también señala serias preocupaciones sobre los informes de que el sistema de comentarios de la FCC ha sido socavado por una avalancha de comentarios falsos.
Como Gizmodo informó el mes pasado:
De hecho, los informes que emergen como consecuencia del ciberataque sugieren que el sistema de comentarios públicos de la FCC ya está totalmente comprometido. Spambots se dice que han inundado el sitio web con mensajes falsos, de acuerdo con múltiples fuentes. Cientos de miles de mensajes idénticos se pueden ver allí, algunos con nombres y direcciones de estadounidenses que, cuando son contactados por reporteros, han afirmado que su identidad debió haber sido robada. Incluso los opositores a la neutralidad de la red, que disfrutan del apoyo del presidente Pai, admiten que el sistema es "inmanejable y sin sentido".
A principios de este mes, un grupo conservador afirmó que cientos de miles de comentarios recientes fueron enviados usando una misma dirección en Rusia.
"La falta de acción de la FCC para prevenir o mitigar este problema es también motivo de preocupación. De hecho, en conjunto, estas situaciones plantean serias dudas sobre cómo el público da a conocer sus opiniones a la FCC y cómo la FCC desarrolla el registro que utiliza para justificar las decisiones tomadas por la agencia", escribió Schatz y Pallone.
Actualización, 18:30 horas: FedScoop informa que el director de TI de la FCC, David Bray, ha cancelado sus planes de asumir un nuevo cargo como jefe de operaciones de la National Geospatial-Intelligence Agency. Según informes, Bray no buscará empleos futuros en el gobierno federal.