CISA, la agencia de ciberseguridad de EE. UU., admite no tener un plan de respuesta tras la filtración de credenciales de inicio de sesión de un empleado en GitHub
La Agencia de Ciberseguridad de EE. UU. (CISA) reveló que tuvo que desarrollar un plan de respuesta de emergencia sobre la marcha, después de que un contratista filtrara datos confidenciales para acceder a sistemas gubernamentales en GitHub.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) admitió en un informe post-mortem que no contaba con un plan de acción (playbook) preestablecido para el incidente de filtración de datos críticos en la nube ocurrido el pasado mayo. Esto obligó a los funcionarios a 'dedicar tiempo a crear [el playbook] en las primeras etapas del incidente' mientras abordaban el problema de forma improvisada.
El incidente comenzó en mayo, cuando investigadores de seguridad de la empresa GitGuardian detectaron una gran cantidad de datos confidenciales, como claves y credenciales para acceder a sistemas del gobierno de EE. UU., almacenados en un repositorio de GitHub (un espacio para almacenar y gestionar código de programa) de acceso público. Estos datos habían sido subidos por un empleado de un contratista que trabajaba para la propia CISA. Los investigadores intentaron contactar directamente a la empresa contratista para notificarla, pero no obtuvieron respuesta.
La situación se hizo pública después de que los investigadores informaran a Brian Krebs, un periodista de investigación independiente especializado en ciberseguridad. Krebs contactó directamente a CISA. Solo después de ser contactada por el periodista, CISA procedió a retirar el repositorio del sistema y a revocar o cambiar de inmediato todos los datos confidenciales filtrados.
Lo destacable es que CISA ha estado promoviendo y exigiendo durante años que organizaciones tanto públicas como privadas creen playbooks para responder a diversos tipos de incidentes cibernéticos. Sin embargo, en su informe más reciente, la propia agencia admite haber 'fallado en crear un playbook específico para GitHub/Cloud' para este tipo particular de situación. No obstante, CISA afirmó que, según la investigación posterior al incidente, no se encontró evidencia de que actores maliciosos hayan utilizado los datos filtrados y que no se vieron afectados datos de clientes u otra información sensible.
Este incidente sirve como un importante recordatorio de que incluso las agencias nacionales responsables de la ciberseguridad pueden tener vulnerabilidades en sus procesos. Asimismo, subraya la importancia de contar con planes de respuesta preestablecidos para cada escenario, en lugar de crearlos solo después de que surjan los problemas.