La vulnerabilidad en HSIN: cuando las alertas fallan y las brechas quedan ocultas



Un informe interno de DHS revela que analistas descartaron dos veces alertas de intrusión en la red de intercambio de información HSIN como falsos positivos, lo que concedió a los atacantes aproximadamente tres semanas de acceso no detectado antes de que se declarara una brecha el 4 de junio de 2026. Los intrusos, aún anónimos, alteraron archivos del servidor, ejecutaron código malicioso a través de un programa web legítimo, eliminaron registros, instalaron puertas traseras y robaron archivos de credenciales.

Los atacantes lograron ingresar a HSIN, la principal plataforma para compartir información no clasificada que utilizan varias agencias estadounidenses y socios internacionales. Durante su presencia, modificaron archivos del servidor, ejecutaron código malicioso y sustrajeron credenciales, todo ello mientras borraban logs para ocultar su rastro. Sus movimientos fueron señalados dos veces por sistemas automáticos y analistas en mayo de 2026, pero fueron desestimados como falsos positivos en cada ocasión, antes de que se declarara la brecha activa un mes después.

El título de la nota, Bad timing meets bad security practices? (¿Una mala sincronización se encuentra con malas prácticas de seguridad?), sugiere que la combinación de momento y prácticas de seguridad deficientes podría haber amplificado el problema. La intrusión ocurrió en un momento crítico: HSIN sirve como herramienta clave de inteligencia y coordinación para eventos internacionales y de interés, como la FIFA World Cup y América250.

La existencia de múltiples señales de alerta que fueron desestimadas genera inquietudes sobre la competencia y la responsabilidad dentro de una dependencia ya bajo escrutinio. Aunque la DHS ha minimizado el incidente insistiendo en que no afectó redes clasificadas, la discusión pública ha escalado, con figuras como el vicepresidente del Comité de Inteligencia del Senado, Mark Warner, enfatizando que HSIN maneja información altamente sensible.

Hasta la fecha, los investigadores no han identificado a un grupo específico ni han determinado el motivo, lo que añade confusión sobre la intención detrás de la intrusión. Entre las evidencias se encuentra la eliminación de registros y el robo de credenciales, lo que podría facilitar futuros accesos a sistemas y cuentas más allá del punto de entrada inicial.

Este no es el primer incidente en HSIN; ya en 2009 hubo una cuenta comprometida y en 2023 se detectaron configuraciones de acceso incorrectas que proliferaron brechas, tanto intencionales como accidentales. Además, la reducción de personal en DHS y en la agencia de ciberseguridad CISA, observada en el último año, podría debilitar las defensas ante ataques complejos que requieren intervención humana.

La discusión política en el Congreso, junto con otros temas de seguridad nacional, podría intensificarse a medida que el DHS publique más detalles sobre la intrusión. En el entorno actual, la gestión de la información sensible de HSIN y la capacidad de respuesta ante alertas falsas resultan críticas para evitar que incidentes de este tipo se escalen.

Este análisis se apoya en reportes de DefenseOne y declaraciones públicas relacionadas con el tema, que destacan la necesidad de revisar las prácticas de monitoreo, la criba de alertas y la capacidad de respuesta ante incidentes de ciberseguridad para proteger redes y datos no clasificados que siguen siendo centrales para operaciones interinstitucionales e internacionales.

from Latest from TechRadar https://ift.tt/OujfrMB
via IFTTT IA