La Administración Nacional de Aeronáutica y el Espacio, más conocida como NASA (por sus siglas en inglés), sufrió recientemente un incidente de seguridad en el que un atacante robó información sensible de la agencia relacionada a la misión a Marte, incluyendo detalles sobre el Curiosity rover.

La brecha, que afectó al Laboratorio de Propulsión a Reacción de la NASA (JPL, por sus siglas en inglés), permaneció sin ser detectada por 10 meses, detalla un reporte publicado por la Oficina del Inspector General de la NASA (OIG, por sus siglas en inglés).

“En abril de 2018, JPL descubrió que una cuenta perteneciente a un usuario externo había sido comprometida y utilizada para robar aproximadamente 500 MB de datos de uno de sus principales sistemas de misión,” explica el reporte, en el cual se atribuye la intrusión a un grupo de Amenaza Persistente Avanzada, más conocida como APT (por sus siglas en inglés).

Resulta que los cibercriminales explotaron un dispositivo Raspberry Pi, el cual estaba conectado a la red JPL sin autorización, y lo utilizaron como trampolín para infiltrarse dentro de la red y moverse lateralmente.

No se especifica quien estuvo detrás de la intrusión, o más específicamente, quién conectó a la red este dispositivo, de una sola placa, que se puede comprar por aproximadamente 25 dólares.

Sin embargo, lo que sí está claro es que a la Oficina del Inspector General no le llamó la atención la postura en ciberseguridad que tomó la agencia espacial.

Problemas de seguridad de fondo

“Durante los últimos 10 años, el JPL experimentó varios e importantes incidentes de ciberseguridad que comprometieron grandes segmentos de sus redes TI”, afirma el reporte.

Además, no se detiene en este dato, sino enumera una serie de deficiencias en los controles de seguridad de la red de la NASA que ponen en riesgo sus sistemas de datos. “Múltiples debilidades de los controles de seguridad de TI reducen la habilidad del JPL para prevenir, detectar y mitigar ataques dirigidos a sus sistemas y redes, exponiendo los sistemas y datos de la NASA a la explotación por parte de un atacante”, añade el informe.

Esto mismo quedó en evidencia en el incidente de Raspberry Pi, el cual fue habilitado en parte debido a su “visibilidad reducida en los dispositivos conectados a sus redes (de la NASA)”. Esto significa que nuevos dispositivos añadidos a la red no siempre fueron puestos a un proceso de evaluación crítica por un especialista en seguridad y que la agencia no sabía que el gadget (Raspberry Pi) estaba presente en la red.

Adicionalmente, la auditoría detectó una falta de segmentación de la red, algo que cual explotaron los atacantes para moverse lateralmente entre varios sistemas conectados a una puerta de enlace de red. La puerta de enlace ofrece a usuarios externos y a sus socios, incluyendo agencias espaciales extranjeras, así como contratistas e instituciones educativas, acceso remoto a un entorno compartido.

Además, la auditoría encontró que los registros de los tickets de seguridad, entre los cuales figuran solicitudes para la instalación de parches a un software o actualizar un sistema de configuración, en algunos casos permanecieron sin resolverse durante más de seis meses. Esto a pesar de que los administradores de sistemas tenían un plazo máximo de 30 días para llevar adelante las medidas correctivas.

Esta clase de retrasos colaboró con que se pueda llevar adelante la intrusión de la Raspberry Pi, ya que “uno de los cuatro sistemas comprometidos no parcheó una vulnerabilidad en el tiempo que correspondía”.

También se vieron afectados sistemas vinculados con la Red del Espacio Profundo de la NASA (DSN, por sus siglas en inglés). Esto finalmente provocó que los equipos de seguridad del Centro Espacial Johnson, que administra la Estación Espacial Internacional, se desconectaran de la puerta de enlace por temor de que los “atacantes puedan moverse lateralmente desde la puerta de entrada a sus sistemas de misión, teniendo así la posibilidad de obtener acceso e iniciar acciones maliciosas que afecten a vuelos de misiones espaciales humanas que utilicen esos sistemas”.

El reporte también detectó que el JPL no implementó un programa de búsqueda de amenazas para “perseguir de manera agresiva actividad anormal en sus sistemas e indicadores de algún tipo de compromiso”, confiando en cambio en “un proceso ad hoc para la búsqueda de instrusos”.

El reporte destacó 10 recomendaciones y la NASA aceptó que todos, excepto uno, pusieran en marcha un proceso formal de búsqueda de amenazas.