El gobierno de Estados Unidos ha presentado una demanda contra el Instituto Tecnológico de Georgia (Georgia Tech) y su filial Georgia Tech Research Corporation (GTRC) por presuntas violaciones de la ciberseguridad. El Departamento de Justicia (DoJ) se ha unido a un denunciante para presentar una «denuncia en intervención» contra las instituciones por no implementar «a sabiendas» los controles de ciberseguridad requeridos por su contrato con el Departamento de Defensa (DoD). Este contrato estaba relacionado con la investigación que se realizaría en Georgia Tech en nombre de la agencia del gobierno estadounidense. La demanda del denunciante fue iniciada por miembros actuales y anteriores del equipo de ciberseguridad de Georgia Tech, Christopher Craig y Kyle Koza. El caso representa la primera demanda en virtud de la Iniciativa Civil contra el Fraude Cibernético del Departamento de Justicia, lanzada en octubre de 2021, para exigir a los contratistas y beneficiarios del gobierno que no cumplan con los requisitos regulatorios o contractuales de ciberseguridad en virtud de la Ley de Reclamaciones Falsas. Esta ley permite al gobierno de Estados Unidos intervenir y asumir la responsabilidad de litigar los casos de denuncia de irregularidades. Georgia Tech acusada de numerosas violaciones de ciberseguridad La demanda alega numerosas violaciones graves de ciberseguridad por parte del Laboratorio Astrovalos de Georgia Tech, un grupo de seguridad informática de la universidad. El laboratorio fue acusado de no desarrollar e implementar un plan de seguridad del sistema como lo exigen las regulaciones del Departamento de Defensa hasta al menos febrero de 2020. Cuando finalmente implementó un plan en febrero de 2020, Georgia Tech supuestamente no logró delimitar adecuadamente ese plan para incluir todas las computadoras portátiles, de escritorio y servidores cubiertos. Además, hasta diciembre de 2021, Astrolavos Lab supuestamente no instaló, actualizó ni ejecutó herramientas antivirus o antimalware en sus computadoras de escritorio, portátiles, servidores y redes. La demanda afirma que Georgia Tech aprobó la negativa del laboratorio a instalar software antivirus para satisfacer las demandas de un profesor que dirigía el laboratorio. Esto es a pesar de que el uso de herramientas antivirus y antimalware es un requisito del Departamento de Defensa, así como la propia política de Georgia Tech. El gobierno de EE. UU. alegó además que en diciembre de 2020 Georgia Tech y el GTRC presentaron una puntuación falsa en la evaluación de ciberseguridad al Departamento de Defensa para el campus de Georgia Tech. La presentación de esta puntuación era una condición para la adjudicación del contrato para los contratos del Departamento de Defensa de Georgia Tech. Sin embargo, el gobierno cree que la puntuación de nivel resumido de 98 presentada por Georgia Tech era falsa porque: La institución en realidad no tenía un sistema de TI para todo el campus La puntuación era para un entorno «ficticio» o «virtual» que no se aplicaba a ningún sistema de contratación cubierto en Georgia Tech El fiscal general adjunto principal Brian M. Boynton, jefe de la División Civil del Departamento de Justicia, comentó: «Los contratistas gubernamentales que no implementan por completo los controles de ciberseguridad requeridos ponen en peligro la confidencialidad de la información gubernamental sensible». «La Iniciativa Civil contra el Fraude Cibernético del departamento fue diseñada para identificar a dichos contratistas y hacerlos responsables», agregó. Georgia Tech “refutará enérgicamente” las acusaciones En un comunicado emitido por Georgia Tech, la universidad expresó su decepción por las acusaciones del Departamento de Justicia y prometió “refutarlas enérgicamente” en los tribunales. “Este caso no tiene nada que ver con información confidencial o secretos gubernamentales protegidos. El gobierno le dijo a Georgia Tech que estaba realizando una investigación que no requería restricciones de ciberseguridad, y el propio gobierno publicó los hallazgos de la investigación innovadora de Georgia Tech”, dijo la universidad. “De hecho, en este caso, no hubo violación de información ni se filtraron datos. A pesar de la acción equivocada del Departamento de Justicia, Georgia Tech sigue comprometida con una ciberseguridad sólida y continúa su relación de colaboración con el Departamento de Defensa y otras agencias federales”, agregó Georgia Tech. En noviembre de 2022, una investigación encargada por CyberSheath descubrió que el 87% de los contratistas de defensa de EE. UU. no cumplen con los requisitos básicos de regulación de la ciberseguridad. Crédito de la imagen: Chad Robertson Media / Shutterstock.com