El Ejército de EE. UU. apuesta por el acceso abierto: ¿por qué el nuevo sistema de comunicaciones incluye una "caja negra"?

El ejército de EE. UU. solucionó deficiencias críticas de ciberseguridad en el prototipo de su nuevo sistema NGC2 (Next Generation Command and Control). Este proyecto se considera un elemento clave de la transformación digital de las fuerzas armadas; sin embargo, las primeras pruebas revelaron vulnerabilidades que podrían haber provocado la pérdida de control sobre los datos y una amenaza para las operaciones. Los problemas salieron a la luz poco antes del inicio de la serie de pruebas a gran escala Ivy Sting, cuyo objetivo es escalar el sistema al nivel de una división completa.

El documento del 5 de septiembre contenía una evaluación contundente del estado de la plataforma. Señalaba que NGC2 «en su forma actual muestra deficiencias críticas en cuanto a las medidas básicas de protección, los procedimientos y la gestión», lo que genera riesgo de acceso no autorizado, fuga de datos e incluso amenaza para el personal. Kiulli señaló la falta de control suficiente sobre la implementación de nuevas capacidades y advirtió que el desarrollo avanza más rápido que el sistema de supervisión de seguridad.

Tras la filtración, el memorando se difundió en la industria, pero tres semanas después el mando del ejército anunció que todos los riesgos habían sido mitigados. Según el CIO del ejército, Leonel Garsiga, los procesos ciberseguridad mejorados permitieron detectar los problemas de forma rápida, involucrar a los contratistas e implementar medidas correctoras. Subrayó que esto no desvió el programa de su cronograma ni afectó el desarrollo de las pruebas.

En la sede de tecnologías de redes señalaron que la detección de vulnerabilidades en una fase temprana estaba prevista en la estrategia de desarrollo. Según un representante de la sede, así es como debe funcionar el enfoque de «seguridad por defecto»: las amenazas se detectan en el prototipo, se corrigen de inmediato y eso permite fortalecer la plataforma antes del despliegue. En la sede calificaron la situación como un ejemplo positivo de cómo debe evolucionar el proyecto.

NGC2 es la principal iniciativa tecnológica del ejército, destinada a sustituir las redes de mando obsoletas por una arquitectura definida por software que proporcione acceso unificado a los datos y el control de las unidades en tiempo real. El desarrollo se lleva a cabo desde cero, sin reutilizar soluciones antiguas. En julio, el ejército asignó alrededor de 100 millones de dólares a la empresa Anduril y a un grupo de contratistas para crear un prototipo para la 4.ª división de infantería, que se probará en el evento Project Convergence Capstone 6 en verano. El sistema formará parte de la amplia transformación digital de las fuerzas armadas.

El memorando de Kiulli apareció 10 días antes de la primera demostración de Ivy Sting y enumeraba un amplio conjunto de amenazas. Entre ellas figuraban la falta de segregación de permisos, código de terceros no verificado y potencialmente vulnerable, un débil sistema de gestión y control de los flujos de datos. El documento afirmaba que la plataforma funcionaba con vulnerabilidades conocidas pero no corregidas y que no tenía un responsable asignado para la seguridad operativa. También señalaba que la plataforma se asemejaba a una «caja negra», en la que es imposible rastrear qué usuarios realizan qué acciones dentro de la red.

No obstante, ya a mediados de septiembre, según Garsiga, NGC2 superó con éxito la verificación en la primera etapa de Ivy Sting. Las pruebas mostraron que los nuevos procedimientos de ciberseguridad permitieron detectar y corregir todos los puntos débiles sin retrasos en el calendario. Un representante del ejército indicó que NGC2 formará parte de la «reconstrucción generacional» de toda la arquitectura de mando de las fuerzas, y que los problemas detectados solo confirmaron la eficacia del nuevo modelo de protección, orientado a la detección temprana y la respuesta inmediata ante los riesgos.