El 25 de octubre de 2024, el FBI y CISA emitieron una declaración conjunta que marcó el primer reconocimiento público de que Las redes de comunicaciones de EE.UU. quedaron comprometidas por el huracán SaltEs un grupo ampliamente conocido por tener vínculos confiables con el gobierno chino.
A medida que pasaban los meses, Varias empresas revelaron que estaban siendo atacadasincluidos AT&T y Verizon, confirmaron que los actores de amenazas se infiltraron con éxito en sus sistemas y que los atacantes probablemente accedieron al tráfico de red de millones de estadounidenses, así como a personal gubernamental de alto nivel y una variedad de individuos. Red de vigilancia de puerta trasera Utilizado por las autoridades estadounidenses.
Al revisar la situación, John Ackerley, director ejecutivo y cofundador de la empresa, dijo: Vertru El ex asesor tecnológico de la administración Bush Jr. cree que los incentivos desalineados en las leyes de seguridad estadounidenses crearon la tormenta perfecta para el huracán Salt.
Primer día en el ala oeste
A las 7:30 a. m. del 11 de septiembre de 2001, John Ackerley estaba informando al subjefe de gabinete sobre la legislación federal sobre privacidad que, de ser aprobada, habría requerido un consentimiento opcional para compartir datos de su propietario con terceros.
Poco más de un mes después, tras el peor ataque terrorista en suelo estadounidense, Ackerley estaba en la sala cuando se aprobó la Ley Patriota, que otorgaba a las agencias de seguridad estadounidenses un poder casi ilimitado para intervenir teléfonos nacionales e internacionales en pos de la guerra global contra terrorismo. Aprobar.
Para muchos en ese momento, el fundamento de la Ley Patriota era: “Si no tienes nada que ocultar, no tienes nada que temer”, siendo la reducción de la privacidad una compensación por una mayor seguridad.
La misma lógica se utilizó a mediados de la década de 1990 con la introducción de la Ley de Asistencia para el Cumplimiento de las Comunicaciones (CALEA), que exigía que las empresas de telecomunicaciones construyeran puertas traseras a la tecnología y los servicios que ofrecen para permitir a las autoridades estadounidenses realizar escuchas telefónicas, algo que ha sido Posteriormente se amplió para incluir las redes de Internet y de Voz sobre Protocolo de Internet (VoIP).
Si avanzamos rápidamente hasta 2024, las mismas puertas traseras instaladas para mantener seguros a los ciudadanos estadounidenses son las que fueron violadas por el huracán Salt.
“Son las mismas puertas que usan los buenos, por las que los malos pueden pasar”, dice Ackerley, y también señala que la estructura legal detrás de la Ley Patriota y CALEA “literalmente ha abierto la puerta a este tipo de abusos y los ha hecho mucho más peor.” “.
Y continúa: “Creo que es una verdadera llamada de atención. Estuve allí en 2000 con la convención republicana donde agregamos explícitamente un lenguaje que decía que cualquier mandato para puertas traseras es una mala idea. Podríamos haberlo visto venir, y deberíamos lo he hecho.”
Seguridad centrada en los datos
Estos ataques fueron una prueba de la realidad para las agencias de seguridad estadounidenses, con ciudadanos estadounidenses recomendados por el FBI. Cambie al uso de aplicaciones de mensajería cifradas de extremo a extremo Como Signal para comunicaciones personales. Pero Ackerley cree que hay más por hacer, tanto por parte de las autoridades como de las organizaciones.
La plataforma de seguridad de datos de Virtru se basa en la especificación Trusted Data Format (TDF), que empaqueta los datos en un formato cifrado que solo los usuarios autorizados pueden descifrar y acceder. El formato TDF fue desarrollado por Will, el hermano de John, cofundador y director de tecnología de Virtru, como una alternativa más segura a las técnicas de transferencia de datos utilizadas por la Agencia de Seguridad Nacional en Irak.
“En realidad, era el tipo que iba y venía con una unidad USB desde los barcos donde estaban todos los datos ultrasecretos, y luego los llevaba a los helicópteros para la acción”, recuerda Ackerley, añadiendo que “en general, los humanos que trabajan con USB Los discos duros son de mala seguridad”.
Desde entonces, TDF ha sido respaldado por la Oficina del Director de Inteligencia Nacional, así como por la comunidad de inteligencia Five Eyes, y Ackerley señaló que Virtru se creó para “empoderar a personas y organizaciones para desbloquear el valor de los datos a través de la capacidad de compartirlos con confianza. ” “Está bajo su control”.
Mirando hacia el futuro, Ackerley señala al Ministerio de Defensa británico y al Departamento de Defensa de EE. UU. como ejemplos de “seguridad centrada en los datos como principio de primera clase”, y ambas organizaciones están avanzando para “desacoplar la red y la infraestructura de la nube de la capa de confianza”. ” etiquetando y asegurando datos a escala, lo que permite compartirlos mucho más rápido, especialmente en el caso de inteligencia secreta.
“Esto debe ampliarse al mercado comercial con incentivos reales”, continúa Ackerley, “porque actualizar todas estas redes llevará mucho tiempo, y eso requerirá miles y miles de millones de dólares, y décadas de desarrollo”.
Pero, lamentablemente, no parece haber nada que las empresas puedan hacer ahora para protegerse mejor.
“No existe una solución milagrosa, pero es mucho más fácil ahora que hace unos años”, afirma Ackerley, y añade que el mejor enfoque para las organizaciones es “no confiar en que terceros hagan lo correcto con sus datos”.
Al interactuar con redes externas a la suya, Ackerly recomienda separar las capas protegiendo sus datos incluso antes de que lleguen a un tercero, con un fuerte enfoque en políticas de confianza cero. Gestión de identidad Y multifactorial Autenticación Para datos sensibles.
“Empiece primero con la identidad, luego con la protección de datos y, después, podrá centrarse en todo lo demás”, afirma. “Puede empezar en cuestión de días y no será tan caro”.
“Comencé este trabajo para resolver un desafío social que vimos a principios de la década de 2000, y ahora estamos en 2025 y logrando algunos avances, pero aún queda más por hacer”, concluye Ackerley.