El mayor sindicato de empleados federales de Estados Unidos presentó esta semana una denuncia contra los líderes de la Oficina de Administración de Personal (Office of Personnel Management u OPM), que a principios de mes confirmó una brecha de seguridad a raíz de la cual los datos personales de 4 millones de trabajadores fueron robados. La queja acusa al organismo de negligencia y afirma que tuvo tiempo (y avisos) más que suficientes para prevenir el incidente, según reporta Phys.org.
Según la denuncia, presentada por la Federación Americana de Empleados Gubernamentales (American Federation of Government Employees o AFGE) se trató de uno de los ciberataques más dañinos de la historia de los Estados Unidos, y es por eso que señalaron en la acusación a la directora de la Oficina de Administración de Personal, Katherine Archuleta, y a su jefe de información, Donna Seymour. También se refirieron a Keypoint Government Solutions, un contratista de la OPM.
El inspector general de la agencia dijo al Congreso que había estado advirtiendo durante años que la seguridad de la información era inadecuada, pero esas advertencias no fueron escuchadas. La demanda alega que la OPM fue negligente al no mejorar su seguridad ni salvaguardar la información de los empleados a pesar de las advertencias. Como consecuencia, un ataque previo a los sistemas Keypoint permitió a los atacantes obtener las credenciales que llevaron a la brecha.
"Desde 2007, los funcionarios de la OPM han sido alertados sobre sus políticas y protocolos de seguridad de datos y no tomaron las medidas adecuadas para salvaguardar la información", dijo J. David Cox Sr., Presidente Nacional de AFGE, junto a otros dirigentes sindicales de la unión. "A pesar de que fueron advertidos sobre la catástrofe potencial a la que los empleados del gobierno se enfrentaban, la seguridad de datos de la OPM empeoró en lugar de mejorar".
La demanda refiere daños monetarios no especificados y pide un monitoreo de crédito más extenso para los empleados cuya información personal fue robada. Según los sindicalistas, los 18 meses de seguimiento ofrecidos por la OPM son insuficientes.
Este reclamo llega casi al mismo tiempo que la noticia de que la OPM cerró temporalmente su sistema proveedor de datos para investigaciones de antecedentes, ya que encontró en él una vulnerabilidad que debe resolver. Se trata del portal Electronic Questionnaires for Investigations Processing (E-QIP) que, segúon reportó The Hacker News, permanecerá cerrado entre cuatro y seis semanas "hasta que se implementen mejoras de seguridad más fuertes".
Si bien según la propia OPM no hay evidencia de que la vulnerabilidad se esté explotando activamente, todo esto deja en evidencia que la agencia está enfrentando algunos problemas serios en lo que refiere a seguridad y protección de datos.