Cuando fallan los sistemas heredados: lecciones de la violación de los tribunales federales

Los ciberataques ocurren a diario, pero algunos son especialmente escalofriantes. Un ataque este verano contra el sistema judicial estadounidense debería haber causado escalofríos.

El 7 de agosto, los funcionarios confirmado Un ataque contra el poder judicial federal de Estados Unidos. En particular, los atacantes atacaron su sistema de archivo judicial, Gestión de Casos/Archivos Electrónicos de Casos (CM/ECF), también conocido por su interfaz pública PACER. El New York Times afirmó que el ataque, ocurrido entre finales de junio y principios del 4 de julio de este año, probablemente estuvo vinculado a actores estatales rusos.

Las consecuencias son significativas. Si bien muchos expedientes de CM/ECF están disponibles públicamente a través de PACER, muchos otros están sellados porque contienen información confidencial. Al parecer, los atacantes buscaban casos que involucraran a ciudadanos rusos.

El incidente sumió a los tribunales en un caos, obligándolos a volver a los sistemas de archivo en papel. Al menos un juez incluso prohibió la carga de documentos sellados en PACER. Los casos delicados tuvieron que migrarse a sistemas independientes.

Más preocupante aún es la sugerencia de que los cárteles de la droga mexicanos Podría tener acceso a Algunos de estos datos sensibles podrían exponer a testigos de sus crímenes. Los delitos de pandillas vinculados a los cárteles suelen procesarse en los tribunales de distrito, lo que significa que los expedientes confidenciales se encuentran en el CM/ECF.

Lo peor de todo es que la culpa la tiene una combinación de implementación descentralizada y código antiguo y heredado.

El CM/ECF se remonta a finales de la década de 1990, cuando el Distrito Norte de Ohio lo construí Para gestionar una avalancha de hallazgos en algunos casos de amianto. Posteriormente, otros tribunales comenzaron a adoptarlo a principios de la década de 2000, cuando, tras una implementación nacional, los tribunales de quiebras, de distrito y de apelación también lo implementaron. Para 2007, la adopción era prácticamente universal, pero la gestión era fragmentada; cada tribunal gestionaba su propia implementación del software. Por ello, cuando la Oficina Administrativa de los Tribunales de EE. UU. publicó una importante revisión conocida como NexGen en la década de 2010, no todos se actualizaron.

En un estudio clínico realizado en 2021 (reporte) En cuanto al sistema, el personal de la Oficina Administrativa se quejó de que más de 50 tribunales no se habían adaptado al nuevo sistema. El informe lamentó la obsolescencia de la tecnología fundamental. «La descentralización y la complejidad están causando inestabilidad del sistema, altos costos de mantenimiento y riesgos de seguridad», advirtió. «Los contratos actuales dificultan la rendición de cuentas de los contratistas respecto a los estándares de calidad».

El problema ha persistido y los resultados han sido desastrosos. El Departamento de Justicia también... reportaron una violación en 2021, que luego se reveló que involucraba a tres actores extranjeros.

El problema del software heredado

Este problema del software heredado está muy extendido. en donde Este año, la empresa de software de migración heredada Saritasa reveló que el 62 % de sus 500 encuestados aún dependía de sistemas heredados. El departamento de TI siempre debe competir con otros departamentos por una parte del presupuesto. Cuando los tecnólogos lo consiguen, deben procurar equilibrar la amortización de la deuda técnica con la implementación de nuevas mejoras de software y hardware que satisfagan a los patrocinadores empresariales. Cada dólar invertido en la reparación de sistemas antiguos debe ser extraído del presupuesto corporativo.

La gestión descentralizada de TI también crea puntos ciegos, especialmente cuando se vincula con software heredado. Deja a muchos productos de software sin parches. Además, dificulta comprender qué se ejecuta en la infraestructura de TI y vincularlo a las políticas de seguridad. El resultado es la TI en la sombra, que introduce aún más riesgos.

El sistema judicial federal no es el único que presenta algunos de estos problemas. En 2019, la Oficina de Responsabilidad Gubernamental (GAO) publicó un informe que destacaba la continua falta de atención a los sistemas heredados en el gobierno estadounidense. En el Reino Unido, el gobierno... clasifica El 28% de su infraestructura de TI es heredada, cifra que aumenta hasta el 70% en algunas áreas.

Domando la bestia heredada

Existen maneras de recuperar el control de su infraestructura de TI y, al menos, comprender los riesgos de las arquitecturas heredadas, incluso si no puede erradicarlas por completo. Aquí es donde resulta útil un sistema de gestión de la seguridad de la información (SGSI) como la norma ISO 27001.

El Control 5.9 del Anexo A de la norma ISO 27001:2022 aborda la gestión de activos de información, garantizando que la organización documente adecuadamente quién es responsable de cada activo y detallando los riesgos asociados. Exige un inventario de activos para alcanzar este objetivo, creando una plataforma para que las empresas organicen sus actividades en torno a él. Por ejemplo, se pueden documentar los niveles actuales de parches asociados a cualquier activo.

Este inventario de activos es una base sólida para lanzar un programa de pago de deuda técnica. Priorizar los sistemas que se deben parchar, actualizar o reemplazar según su factor de riesgo proporciona a los equipos con recursos limitados un plan de acción claro. También se puede usar para crear estructuras de gobernanza en torno a las plataformas que no están orientadas al cliente, pero que contienen información valiosa y de bajo perfil. Esas joyas de la corona mal protegidas son precisamente los activos que los atacantes perseguirán.

Luego viene la discusión sobre la migración, que describe cómo migrar de un sistema heredado a uno nuevo. Esto implica una reflexión cuidadosa que tenga en cuenta las dependencias del sistema. La refactorización (renovación de código en el sistema existente) es una opción, al igual que el reemplazo (eliminar completamente el sistema y empezar de cero). Esta última opción crea más oportunidades para migrar de arquitecturas problemáticas, como sistemas monolíticos, a código más modular basado en microservicios.

Otras medidas para ayudar a enfrentar el riesgo heredado incluyen realizar ejercicios regulares de modelado de amenazas para explorar esa infraestructura heredada invisible que nadie mira, como portales internos o plataformas de contratos.

Poner en forma tu arquitectura heredada no es algo que debas posponer para mañana. Es muy parecido a la salud física. Cada día que pases procrastinando puede traerte problemas en el futuro. Un pequeño esfuerzo ahora, incluso un pequeño esfuerzo mensual para modernizarte, puede evitar desastres en el futuro. Pregúntale a cualquier juez de distrito.