El senador Tom Cotton (R-Arkansas) solicitó al Pentágono detalles sobre el alcance de la información compartida con ingenieros chinos que participan en un contrato de servicios en la nube de Microsoft.
Cotton, presidente del Comité Selecto de Inteligencia del Senado, envió una carta al secretario de Defensa, Pete Hegseth, con fecha del 24 de julio, en la que solicitaba los resultados de una revisión interna de dos semanas anunciada por el jefe del Pentágono el 18 de julio.
Hegseth ordenó la revisión tras descubrir que algunas empresas tecnológicas habían estado utilizando "mano de obra china barata" para ayudar con los servicios en la nube del Pentágono, según su mensaje de vídeo publicado en X. Añadió que la vulnerabilidad se encontró en un "sistema heredado creado hace más de una década durante la administración Obama".
El mismo día en que Hegseth emitió la orden, Microsoft anunció que había puesto fin a la práctica de utilizar ingenieros con sede en China para proporcionar apoyo técnico para el mantenimiento del sistema en la nube del Pentágono. Según se afirma, los ingenieros eran supervisados por ciudadanos estadounidenses que actuaban como "acompañantes digitales" para vigilar sus actividades.
Cotton pidió a Hegseth que especificara los servicios prestados por los ingenieros chinos y que detallara a qué información o datos habían tenido acceso.
El senador también preguntó con qué frecuencia Microsoft y otros proveedores que utilizaban el "modelo de escolta digital" realizaban autoauditorías y cuáles eran los resultados de las mismas.
Según la carta, también se pidió a Hegseth que revelara "cualquier descubrimiento de posibles incidentes de seguridad o eventos maliciosos que ya hayan ocurrido o que puedan ocurrir".
Cotton también quería que Hegseth proporcionara "todas las guías de clasificación de seguridad proporcionadas a Microsoft u otros contratistas en el marco del programa Joint Warfighting Cloud Capability (JWCC)".
Amazon, Google, Microsoft y Oracle obtuvieron contratos de nube por un valor total de hasta 9000 millones de dólares en 2022 para construir el JWCC, que proporcionaría servicios en la nube en todos los niveles de seguridad y clasificación.
El senador también solicitó información sobre los planes del Pentágono para llevar a cabo una revisión de las prácticas y directrices de contratación en todo el departamento con el fin de evitar que un contratista aproveche lagunas que puedan comprometer la seguridad de sus sistemas.
Cotton expresó su preocupación, a pesar de que Hegseth ordenó la revisión, citando al secretario de Defensa, quien afirmó que "China ya no tendrá ninguna participación en nuestros servicios en la nube, con efecto inmediato".
"Aunque aplaudo sus medidas, me preocupa que el Departamento se vea obstaculizado por acuerdos y prácticas adoptados de forma imprudente por sus predecesores, incluidos contratos y procesos de supervisión que no tienen en cuenta la creciente amenaza china", escribió el senador en su carta.
"A medida que aprendemos más sobre estos 'acompañantes digitales' y otras prácticas imprudentes —y escandalosas— utilizadas por algunos socios del Departamento de Defensa, queda claro que el Departamento y el Congreso deberán tomar medidas adicionales.
Debemos implementar los protocolos y procesos necesarios para adoptar tecnología innovadora de manera rápida, eficaz y segura".
El 22 de julio, Microsoft anunció en una entrada de blog que los ciberataques dirigidos a los servidores SharePoint utilizados por organizaciones habían sido llevados a cabo por grupos de hackers vinculados al régimen chino Linen Typhoon y Violet Typhoon, así como por el actor malicioso Storm-2603, con sede en China.
Microsoft actualizó su entrada de blog un día después, indicando que había habido más de 400 víctimas debido al hackeo de SharePoint.
Cotton ha tomado múltiples medidas este año para hacer frente a las amenazas a la ciberseguridad planteadas por adversarios extranjeros.
En mayo, Cotton encabezó un grupo bicameral de legisladores que envió una carta al secretario de Comercio, Howard Lutnick, instándole a prohibir la venta de equipos de red de TP-Link, alegando que la empresa tiene "profundos vínculos" con el Partido Comunista Chino.
Ese mismo mes, Cotton y el senador Rubén Gallego (D-Arizona) presentaron la Ley de Mejora de la Ciberseguridad del Agua. El proyecto de ley tiene por objeto apoyar los sistemas públicos de abastecimiento de agua mediante la prestación de asistencia técnica y subvenciones para la formación y la orientación en materia de preparación y respuesta en materia de ciberseguridad.
Cotton y la senadora Elissa Slotkin (D-Michigan) presentaron en febrero la Ley de Ciberseguridad Agrícola y Alimentaria. Si se aprueba, la legislación obligaría al secretario de Agricultura a identificar las amenazas y vulnerabilidades cibernéticas relacionadas con los sectores agrícola y alimentario en un informe que se presentaría al Congreso.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
