Documentos confidenciales del DOT encontrados vulnerables a los piratas informáticos

Auditores federales pueden acceder a información personal y listas de vuelos VIP

DOT building 2022 cropped credit JG
El DOT pidió dejar vulnerables los datos de los empleados y los documentos de la FAA. (Foto: John Gallagher/FreightWaves)

WASHINGTON — Las pruebas de vulnerabilidad realizadas en el Departamento de Transporte de EE. UU. revelaron que la información personal de los empleados y otros documentos confidenciales están en riesgo debido a salvaguardias de TI ineficaces, según un organismo de control federal.

Al utilizar credenciales de cuentas de administrador disponibles públicamente, los auditores de la Oficina del Inspector General del departamento pudieron obtener acceso no autorizado a impresoras utilizadas por los empleados de la Administración Federal de Carreteras del DOT, según informe de la OIG publicado el miércoles.

Ese acceso permitió a los investigadores ver todo tipo de información personal que los empleados habían impreso, escaneado o enviado por fax previamente, incluidas licencias de matrimonio, facturas y recetas médicas, últimas voluntades y testamentos de los empleados, documentos fiscales, extractos de cuentas bancarias, direcciones particulares y números de Seguro Social. .

Como parte de sus pruebas de acceso sin credenciales, la OIG también encontró que no se había requerido autenticación desde una sala de conferencias no segura, lo que “nos permitió atravesar desde la intranet de la FHWA a la intranet de la FAA”, afirmó la agencia en el informe.


«Luego obtuvimos acceso no autorizado a los sistemas de la FAA que se suponía tenían acceso restringido solo al personal autorizado de la FAA, que contenían documentos confidenciales, así como documentos con datos de propiedad no autorizados para otras agencias gubernamentales o proveedores».

Esos documentos incluían registros de mantenimiento del aeropuerto, planes detallados de mantenimiento futuro, listas de pasajeros VIP y registros de vuelo editables.

“También accedimos a una aplicación del Centro Nacional de Control de Operaciones de la FAA y a un sitio de dibujos de ingeniería de la FAA que contiene dibujos y diseños de contratistas propietarios de terceros, así como dibujos y esquemas militares.

«Por último, accedemos a una herramienta de búsqueda de aviación que contiene aeropuertos globales, helipuertos y una pista de aterrizaje táctica clasificada bajo un seudónimo dentro del Sistema Nacional de Alerta de Mantenimiento de la FAA».


La auditoría, realizada entre noviembre de 2021 y agosto de 2024, identificó miles de vulnerabilidades individuales en FHWA que tenían más de un año y no se remediaron dentro de los plazos especificados requeridos por el DOT.

Entre ellos, la OIG encontró:

  • 541 vulnerabilidades críticas, el 80% de las cuales no se habían solucionado dentro de los 30 días posteriores a su identificación.
  • 1.366 vulnerabilidades altas, el 91% de las cuales no se habían solucionado dentro de los 30 días posteriores a su identificación.
  • 4.755 vulnerabilidades medianas, el 99% de las cuales no se habían solucionado dentro de los 60 días posteriores a su identificación.

La OIG emitió ocho recomendaciones al DOT, entre ellas ordenar a la oficina de TI del departamento desarrollar e implementar un plan para remediar todas las vulnerabilidades críticas, altas y medias identificadas, así como hacer cumplir la política de seguridad del DOT para eliminar las credenciales predeterminadas para todos los dispositivos comprometidos, incluidos los compartidos. impresoras de red.

El DOT culpó de algunos de los resultados de la auditoría a la falta de comunicación entre el departamento y la OIG. También señaló que si bien la auditoría fue interna, «la OIG no pudo penetrar la infraestructura de TI del DOT y la FHWA externamente, lo que demuestra la fortaleza de las defensas del Departamento contra amenazas externas».

Sin embargo, el informe advirtió que hasta que el DOT implemente protecciones de red de TI adecuadas, «el Departamento y sus Administraciones Operativas seguirán en riesgo de sufrir ataques de ciberseguridad que podrían tener un impacto importante en sus misiones».

Haga clic para obtener más artículos de FreightWaves de John Gallagher.

Juan Gallagher

Con sede en Washington, DC, John se especializa en regulación y legislación que afectan a todos los sectores del transporte de carga. Ha cubierto cuestiones ferroviarias, de transporte por carretera y marítimas desde 1993 para una variedad de publicaciones con sede en EE. UU. y el Reino Unido. John comenzó a informar sobre negocios en 1993 en Broadcasting & Cable Magazine. Se graduó de la Universidad Estatal de Florida con especialización en inglés y negocios.

Deja una respuesta