FEMA: cuando el enemigo está dentro

Es bastante probable que estas siglas, FEMA, no te resulten conocidas, así que lo mejor será empezar por aclarar de qué estamos hablando, y es de la Federal Emergency Management Agency, es decir, una agencia federal estadounidense dedicada a las labores de gestión y coordinación en emergencias. Y cuando hablamos de emergencias, en el caso de esta agencia nos referimos a terremotos, inundaciones, huracanes, incendios, etcétera, es decir, a situaciones de emergencia provocadas tanto por desastres naturales como por el ser humano. Desde el huracán Katrina hasta los atentados del 11 de septiembre de 2001, pasando por el coronavirus, todo tipo de emergencias.

Ahora que ya sabemos a qué se dedica la FEMA, así como su nivel de implantación, por lo que podemos asumir que hablamos de una entidad de un tamaño más que considerable, y que por la naturaleza de sus actividades debe trabajar de manera coordinada con multitud de entidades públicas, empresas privadas, profesionales independientes y demás. Una situación necesaria pero que supone, de manera inevitable, un importante incremento en los riesgos de seguridad, especialmente en el momento en el que se empiezan a establecer interconexiones entre redes y servicios.

Hoy hemos sabido que una investigación previa ha llevado a la detención de Justin Sean Johnson, de 29 años, empleado de FEMA y que se encuentra bajo sospecha de haber robado las bases de datos de recursos humanos del Centro Médico de la Universidad de Pittsburgh (UPMC) en 2014, una operación en la que pudo robar datos personales de más de 65,000 empleados de UPMC, para posteriormente ponerlos a la venta en el mercado negro de la dark web con éxito, según las pesquisas realizadas por los investigadores.

En la operación, el empleado de la FEMA se habría hecho con información de más de 65.000 empleados del UPMC (una entidad sin ánimo de lucro que gestiona más de 40 hospitales), unos registros entre los que se encontraban datos personales (nombres, fechas de nacimiento, números de sus seguros sociales, salarios, etcétera) e información fiscal sobre impuestos y retenciones, una combinación perfecta para, fraudulentamente, suplantar la identidad de estas personas y reclamar las devoluciones a las que pudieran optar por los impuestos pagados previamente.

«La información fue vendida por Johnson en foros para su uso por parte de conspiradores, quienes rápidamente presentaron cientos de declaraciones falsas de impuestos 1040 (el modelo que hay que presentar para solicitar una devolución) en 2014, utilizando la información de los empleados de UPMC«, se afirma en el comunicado del fiscal federal Scott Brady. «Estas declaraciones 1040 reclamaron cientos de miles de dólares en reembolsos de impuestos que, una vez cobrados, se invirtieron en tarjetas de regalo de Amazon que se usaron para comprar bienes que fueron enviados a Venezuela«. El fraude total ocasionado por el robo del empleado de la FEMA se cifra en 1,7 millones de dólares en 2014.

Los investigadores sospechan que la intrusión de Johnson en UPMC no fue un hecho aislado, y que durante varios años después ha seguido vendiendo datos personales en el mercado negro. Una acusación que debería poner a la FEMA en pie de guerra, forzando una auditoría completa de todas las actividades llevadas a cabo por el sospechoso durante todo el tiempo que, sea como colaborador externo o como empleado, ha tenido acceso a sus sistemas y, a través de los mismos, a los de las entidades con las que trabaja la agencia federal.

Sigue siendo un error común, por desgracia, confiar en exceso en determinados perfiles profesionales. Paradigmas como zero trust abordan ese problema solo en parte, pues lo que cuestionan es la autenticidad del acceso, es decir, que este es llevado a cabo por un usuario (o entidad) legítimo. Es necesario, y mucho, seguir avanzando en el estricto control de lo que hacen, precisamente, quienes más cosas pueden hacer. Este golpe a la FEMA, y sobre todo a las víctimas de los fraudes cometidos tras el robo, es un recordatorio más de que, en más de una ocasión, el enemigo puede estar dentro.

La entrada FEMA: cuando el enemigo está dentro es original de MuySeguridad. Seguridad informática.