Ciberataque contra el CICR: comunicación de nuestro análisis
Carta abierta de Robert Mardini, director general del Comité Internacional de la Cruz Roja (CICR), tras el descubrimiento, a mediados de enero, de un ciberataque contra servidores del CICR que contenían datos relacionados con los servicios de restablecimiento del contacto entre familiares que presta el Movimiento Internacional de la Cruz Roja y de la Media Luna Roja.
Ha pasado un mes desde que determinamos, en el Comité Internacional de la Cruz Roja (CICR), que los servidores que alojan datos personales pertenecientes a más de 515 000 personas de todo el mundo habían sido jaqueados. Nuestros equipos han estado trabajando sin descanso para entender cómo ocurrió este ataque, qué ramificaciones tiene, cómo podemos mejorar nuestros sistemas de seguridad y cómo comunicar todo lo relativo a esta deplorable situación a las personas afectadas, cuya protección y asistencia nos ha sido confiada.
Sentimos que, como organización humanitaria que rinde cuentas a sus socios y a las personas a las que procura ayudar, es nuestra responsabilidad comunicar todo lo que podemos sobre este ataque inaceptable.
Hoy brindamos información adicional sobre este jaqueo, como parte de nuestro firme compromiso con las personas las que procuramos proteger y asistir. Es una de las formas a través de las cuales nos esforzamos por conseguir y mantener su confianza. En primer lugar, permítanme subrayar un hecho confirmado: se trató de un ataque sofisticado -un acto criminal- que alcanzó datos de índole humanitaria. Sabemos que el ataque fue selectivo porque sus autores crearon un código diseñado exclusivamente para su ejecución en los servidores del CICR atacados. Creemos que la finalidad de esta técnica fue proteger las actividades de los jáqueres contra su detección y las posteriores investigaciones forenses.
Los jáqueres aprovecharon una vulnerabilidad que ninguno de nuestros sistemas de ciberdefensa detectó y, una vez dentro de nuestra red, desplegaron técnicas para hacerse pasar como usuarios legítimos. Cuando se identificó esta infiltración, hicimos cambios inmediatos en algunos de nuestros procesos y herramientas, y estamos acelerando las actividades que ya habíamos planificado como parte de nuestro programa de refuerzo de la ciberseguridad.
Comunicar esta información no es un ejercicio cómodo, pero creo que la única manera de aprender de nuestros problemas y mejorar nuestras políticas y prácticas es siendo transparentes sobre ellos.
Estamos trabajando codo a codo con las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja de todo el mundo para hallar las mejores formas de informar a las personas cuyos datos han sido alcanzados. Nuestra principal preocupación es mitigar los riesgos a los que pueden estar expuestas. Nos comunicamos con ellas mediante llamadas telefónicas, líneas de atención telefónica directa, anuncios públicos, cartas y, en algunos casos, visitas personales a comunidades remotas.
Las personas afectadas son personas desaparecidas y sus familiares, personas detenidas y otras personas que reciben servicios del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja como consecuencia de un conflicto armado, un desastre natural o la migración. Hemos tomado las medidas necesarias para garantizar la continuidad de la tarea vital de localizar a personas dadas por desaparecidas, aunque con un nivel de servicio mínimo, a través de soluciones que emplean tecnología básica (hojas de cálculo simples, por ejemplo), mientras trabajamos para reanudar el servicio completo con seguridad reforzada.
El trabajo en desastres naturales y entre las líneas del frente en situaciones de conflicto viene acompañado de riesgos reales. El enfoque neutral e imparcial del Movimiento es vital para poder trabajar en forma segura en esos contextos. Interactuamos con autoridades gubernamentales y con grupos armados para minimizar los peligros que afrontan el personal y los voluntarios del Movimiento Internacional, las estructuras de salud, los vehículos sanitarios y otros bienes físicos. Aplicamos el mismo enfoque en el mundo digital y en el mundo físico; en ninguno de los dos debemos ser objeto de ataques.
Esperamos que este ataque contra los datos de personas vulnerables sirva para promover un cambio. Ahora fortaleceremos nuestra interacción con los Estados y con actores no estatales para pedirles explícitamente que la protección de la misión humanitaria del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja se extienda a los bienes y la infraestructura que utilizamos para la gestión de datos. Creemos que es indispensable tener un consenso firme -en palabras y en acciones- según el cual los datos de índole humanitaria nunca deben ser objeto de ataques.
Permítanme terminar con las siguientes palabras dirigidas a las personas a las que procuramos ayudar y a nuestros socios del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja, que nos han confiado su información: lamento profundamente que sus datos hayan sido alcanzados por este ataque inaceptable. Prometo que haremos todo lo que esté a nuestro alcance para reforzar aún más la protección de nuestros datos ahora y en el futuro y -una tarea crucial- presionar para lograr la protección de la acción humanitaria en el espacio digital.
