La administración del Primer Ministro Fumio Kishida espera elevar a un nivel aceptable los malos resultados de Japón en materia de ciberseguridad exigiendo a los contratistas del gobierno que cumplan las normas estadounidenses, según informan los medios locales. Los repetidos hackeos a contratistas de defensa japoneses y a otras empresas e instituciones han convertido este asunto en una prioridad absoluta.
Las normas estadounidenses, conocidas como NIST SP 800-171, se aplican a los contratistas que suministran al Departamento de Defensa de Estados Unidos y a otras agencias gubernamentales. Incluyen control de acceso, auditoría y rendición de cuentas, evaluación de la seguridad, protección de las comunicaciones, gestión de riesgos en la cadena de suministro y respuesta a incidentes, entre otros.
Las define y supervisa el Instituto Nacional de Normas y Tecnología, o NIST, del Departamento de Comercio estadounidense. El 10 de mayo se publicó un borrador revisado del NIST SP 800-171. Entre los cambios significativos se incluyen requisitos más específicos para eliminar ambigüedades, mejorar la eficacia y aclarar el alcance de la evaluación. Los comentarios públicos deben presentarse antes del 14 de julio.
La Jefatura Estratégica de Ciberseguridad del gobierno japonés se encargará de la actualización, elevando las normas de seguridad de la información que deben cumplir los contratistas externos que trabajen con ministerios u organismos administrativos. Forma parte de la Oficina del Gabinete y está dirigida por el Secretario Jefe del Gabinete.
Según se informa, las nuevas normas se aplicarán antes de que finalice el año fiscal hasta el 31 de marzo de 2024. Es probable que se vean afectados más de 1.000 contratistas.
La ciberseguridad es un viejo asunto entre Estados Unidos y Japón. Según el experto en ciberseguridad Paul Kallender, investigador principal del Instituto de Investigación Keio en el Campus Shonan-Fujisawa (SFC) de la Universidad Keio, a las afueras de Tokio, «las necesidades de seguridad fueron inicialmente impulsadas por EE.UU. para salvaguardar las plataformas armamentísticas, principalmente la defensa contra misiles balísticos Aegis», pero «toda la seguridad es ahora un híbrido de redes comerciales y militares».
Kallender señala que «todo esto se remonta a hace un cuarto de siglo, cuando Estados Unidos, preocupado por la garantía de la información (lo que ahora se denomina ciberseguridad), mientras Japón y Estados Unidos se preparaban para desarrollar y desplegar conjuntamente los sistemas BMD [defensa antimisiles balísticos] de Japón, consiguió que Japón firmara el Memorando de Entendimiento relativo a la Cooperación en materia de Garantía de la Información y Defensa de Redes Informáticas y, posteriormente, en 2007, el Acuerdo General de Seguridad de la Información Militar entre Estados Unidos y Japón (GSOMIA). Este último anuncio puede considerarse en muchos sentidos como el nieto de unos esfuerzos que se remontan al GSOMIA.»
En 2011, el mayor contratista de defensa de Japón, Mitsubishi Heavy Industries (MHI), admitió que atacantes no identificados habían accedido e instalado malware en servidores y ordenadores de varias de sus oficinas, fábricas e instalaciones de I+D. Al parecer, el objetivo era la tecnología de misiles, submarinos y centrales nucleares de MHI.
«Lo que le ocurrió a MHI», afirma Kallender, «donde se especula que las tecnologías relacionadas con el trabajo de Japón en una versión avanzada del misil Aegis que se está desarrollando conjuntamente con contratistas estadounidenses (así como el trabajo en tecnologías de cazas y espaciales) revelaron no sólo la vulnerabilidad de los principales contratistas militares de Japón, sino también que la industria y la investigación de todo Japón dedicadas a I+D estratégica estaban en peligro ante una campaña concertada de amenazas persistentes avanzadas altamente coordinadas y patrocinadas por el Estado».
«También pareció hacer realidad los peores temores de EE.UU., y fue una especie de año cero para Japón, que empezó a hacerse a la idea de que alguien en el gobierno, concretamente la Oficina del Gabinete del Primer Ministro, necesitaba tomar el control y coordinar los esfuerzos a través de una maraña de ministerios y agencias, para llegar a un plan de ciberseguridad nacional conjunto y coordinado.»
En diciembre de 2021, el Asahi Shimbun informó de que «Un ciberataque de junio de 2019 contra Mitsubishi Electric Corp comprometió datos que constituyeron la primera filtración de información sensible de seguridad nacional reconocida públicamente en Japón, según admitió el Ministerio de Defensa.»
Funcionarios de la compañía dijeron que pensaban que era obra de hackers chinos, pero nunca se proporcionaron pruebas. Mitsubishi Electric fabrica radares y otros sistemas electrónicos para las Fuerzas de Autodefensa Terrestre, Marítima y Aérea de Japón.
En enero de 2020, NEC -el principal productor japonés de equipos de telecomunicaciones y contratista tanto del Ministerio de Defensa como de la Agencia Japonesa de Exploración Aeroespacial (JAXA), que dirige el programa espacial del país- reveló que había sido víctima de un ciberataque en diciembre de 2016, pero que no lo había detectado hasta junio de 2017.
Cuando finalmente pudo descifrar los mensajes implicados en julio de 2018, NEC descubrió que se habían robado archivos de su negocio de defensa. En 2021 y 2022, Fujitsu -segundo productor japonés de equipos de telecomunicaciones y proveedor de servicios informáticos y de software- fue hackeada. Estos ciberataques comprometieron el software como servicio en la nube proporcionado a varias agencias gubernamentales.
También ha habido un número creciente de ciberataques a empresas no relacionadas con la defensa y otras organizaciones en Japón, con objetivos que van desde fabricantes de automóviles a confiterías, la compañía nacional de telecomunicaciones NTT, el servicio de mensajería por Internet LINE, Yahoo Japan, Japan Airlines y muchos otros. El número de ataques de ransomware aumentó de 146 en 2021 a 230 en 2022, según la Agencia de Política Nacional.
No es de extrañar que Estados Unidos haya estado presionando a Japón, al que defiende en virtud del Tratado de Seguridad Japón-Estados Unidos, donde mantiene bases de la fuerza aérea, la marina y el cuerpo de marines, y con el que construye aviones de combate y otros sistemas de armas, para que mejore su ciberseguridad.
El 6 de enero de este año, el Ministro de Economía, Comercio e Industria de Japón, Yasutoshi Nishimura, y el Secretario de Seguridad Nacional de Estados Unidos, Alejandro Mayorkas, firmaron en Washington un Memorando de Cooperación sobre Ciberseguridad.
El MOC abarca la colaboración operativa para mejorar la seguridad de los sistemas de control industrial, el desarrollo de capacidades y la armonización de normativas y regímenes. El objetivo es establecer niveles equivalentes de seguridad del software mediante la identificación y reducción de riesgos y vulnerabilidades.
Japón y Estados Unidos también intentarán ampliar su cooperación en materia de ciberseguridad a Australia e India, los otros dos miembros del Diálogo Cuadrilateral de Seguridad, o Quad, y a otros aliados del Indo-Pacífico.
Artículo publicado originalmente en Asia Times.
*Scott Foster escribe para Asia Times y Strategic News Service (SNS) y es miembro del Consejo Asesor de la conferencia tecnológica Future in Review (FiRe). Es licenciado por la Universidad de Stanford y la Escuela de Estudios Internacionales Avanzados de la Universidad Johns Hopkins.
Foto de portada: El sistema de defensa antimisiles Aegis puede haber sido vulnerable a los piratas informáticos. Twitter
