La Oficina del Comisionado de Información (ICO) ha emitido una reprimenda a la Comisión Electoral después de que unos errores básicos de seguridad permitieran a piratas informáticos vinculados al Estado chino acceder a servidores que contenían la información personal de 40 millones de personas. Los piratas informáticos pudieron acceder al servidor Microsoft Exchange de la Comisión Electoral después de que la organización no pudiera parchear las vulnerabilidades de seguridad conocidas. La Comisión Electoral reveló en agosto de 2023 que había sido objeto de un importante ciberataque en 2021, que permaneció sin detectar durante 12 meses. Los atacantes obtuvieron acceso a la información personal almacenada en el registro electoral, incluidos los nombres y direcciones de todos los que se habían registrado para votar entre 2014 y 2022. También tuvieron acceso a los datos personales de las personas que habían optado por no registrar sus datos en la versión abierta del registro electoral y a los nombres de los votantes registrados en el extranjero. El entonces viceprimer ministro conservador, Oliver Dowden, dijo a la Cámara de los Comunes en marzo de 2024 que era «muy probable» que grupos de piratas informáticos vinculados al Estado chino estuvieran detrás del ataque. Una campaña separada por parte de un grupo de piratas informáticos patrocinado por el estado chino tuvo como objetivo las cuentas de correo electrónico de más de 40 parlamentarios del Reino Unido que se habían pronunciado en contra de China. Vulnerabilidades conocidas Las investigaciones sobre el ataque contra la Comisión Electoral revelaron que al menos dos grupos de piratas informáticos habían accedido a un servidor Microsoft Exchange local utilizado para administrar el correo electrónico y los servicios relacionados. Los grupos explotaron vulnerabilidades conocidas en el servidor Exchange, que permaneció sin parchear durante tres a cinco meses después de que Microsoft publicara correcciones al problema. La ICO descubrió que la Comisión Electoral no tenía un «régimen de parcheo apropiado» en funcionamiento, por lo que las vulnerabilidades de seguridad persistían. Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, es muy probable que esta violación de datos no hubiera ocurrido Stephen Bonner, ICO La Comisión Electoral también fue criticada por no tener políticas de contraseñas adecuadas en el momento del ataque. Las investigaciones revelaron que muchos usuarios estaban usando contraseñas que eran similares o idénticas a las asignadas originalmente por el servicio de asistencia. El comisionado de información, Stephen Bonner, dijo: «Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como parches de seguridad efectivos y administración de contraseñas, es muy probable que esta filtración de datos no hubiera ocurrido. Al no instalar las últimas actualizaciones de seguridad rápidamente, sus sistemas quedaron expuestos y vulnerables a los piratas informáticos». Fallos en los parches Según el informe de la ICO, los piratas informáticos pudieron acceder al servidor Microsoft Exchange sin parches en agosto de 2021 explotando una vulnerabilidad conocida como la cadena de vulnerabilidades ProxyShell. La vulnerabilidad, identificada previamente como un problema crítico por Microsoft, se consideraba una vulnerabilidad fácil de explotar para los piratas informáticos y era bien conocida en la comunidad de piratas informáticos, habiendo sido discutida por investigadores en la conferencia de piratería Black Hat en 2021. Un informe encargado por la Comisión Electoral identificó posteriormente otras ocho vulnerabilidades en los servidores Microsoft Exchange de la organización que podrían haber sido explotadas por piratas informáticos. «Este fallo es una medida básica que esperaríamos ver implementada en cualquier organización que procese datos personales», dijo la ICO en una reprimenda formal. Contraseñas adivinables La ICO descubrió que la Comisión Electoral no tenía una política de gestión de contraseñas dedicada y que la única guía sobre contraseñas era «no revelar ni escribir las contraseñas». Los investigadores de seguridad descubrieron que las contraseñas configuradas por el servicio de asistencia informática de la Comisión Electoral cuando creaba cuentas nuevas o restablecía cuentas antiguas no eran seguras. Los investigadores pudieron descifrar rápidamente 178 cuentas activas utilizando contraseñas idénticas o similares a las proporcionadas por el servicio de asistencia. Una auditoría descubrió que la práctica del servicio de asistencia de reutilizar contraseñas hacía que las cuentas de la Comisión Electoral fueran «muy susceptibles» a ser descifradas. La Comisión Electoral informó de una incursión al Centro Nacional de Seguridad Cibernética (NCSC) después de que un empleado descubriera que se estaban enviando correos electrónicos no deseados desde el servidor Exchange de la Comisión Electoral en octubre de 2021. En ese momento, la Comisión Electoral dijo que consideraba que el problema era un incidente aislado, según la reprimenda de la ICO. La Comisión Electoral estaba al tanto de los problemas con la infraestructura obsoleta e informó de que, dado que estaba planeando trasladar su infraestructura a la nube, «las medidas correctivas con los servidores antiguos eran limitadas», según el informe de la ICO. Riesgo de China En mayo de 2024, la directora del GCHQ, Anne Keast-Butler, advirtió de que las capacidades cibernéticas de China suponían una amenaza importante para el Reino Unido y otros países. «China ha creado un conjunto avanzado de capacidades cibernéticas y está aprovechando un creciente ecosistema comercial de equipos de piratería y corredores de datos a su disposición», dijo. Estos incluyen una campaña de un grupo de piratería patrocinado por el estado chino, conocido como APT31, que tuvo como objetivo las cuentas de correo electrónico de más de 40 parlamentarios del Reino Unido que se habían pronunciado en contra de China. El Ministerio de Asuntos Exteriores, Commonwealth y Desarrollo convocó al embajador chino en el Reino Unido para que respondiera preguntas sobre los ataques en marzo de 2024. Medidas correctivas La Comisión Electoral dijo que había tomado una serie de medidas correctivas tras el incidente, incluida la implementación de un plan de modernización tecnológica y la introducción de un servicio de soporte de infraestructura gestionada. La Comisión Electoral también ha implementado servicios para monitorear servidores, cortafuegos y tráfico de Internet, y para apoyar programas contra amenazas y vulnerabilidades. Además, ha introducido controles de políticas de contraseñas en el Directorio Activo de Microsoft e implementado la autenticación multifactor (MFA) para todos los usuarios. El comisionado de información Bonner dijo que, aunque un número inaceptablemente alto de personas se vieron afectadas por el ataque, la ICO no tenía motivos para creer que se hubiera hecho un uso indebido de datos personales y no había evidencia de que la violación hubiera causado «daños directos». Un portavoz de la Comisión Electoral dijo: «Lamentamos que no se hayan implementado suficientes protecciones para prevenir el ataque cibernético a la comisión. Desde el ataque cibernético, los expertos en seguridad y protección de datos, incluidos la ICO, el Centro Nacional de Seguridad Cibernética y especialistas externos, han examinado cuidadosamente las medidas de seguridad que hemos implementado y estas medidas merecen su confianza».