TL;DR:
- Analistas de FEMA, bajo el DHS, detectaron la intrusión en la red HSIN a mediados de mayo, pero la catalogaron como falso positivo en dos ocasiones.
- El acceso pasó inadvertido casi tres semanas: los intrusos instalaron puertas traseras y robaron archivos de credenciales antes de que se declarara la brecha el 4 de junio.
- HSIN da soporte a la seguridad del Mundial 2026 en EE. UU.; el DHS aún no identifica a los responsables y evalúa informar al Congreso en sesión clasificada.
El Departamento de Seguridad Nacional de Estados Unidos (DHS) calificó dos veces como actividad inofensiva las señales de que había intrusos dentro de HSIN, la red con la que la agencia comparte datos sensibles, aunque no clasificados, entre socios federales, estatales, locales e internacionales, y que ahora da soporte a la seguridad del Mundial 2026 en suelo estadounidense. Ese error de lectura les regaló a los atacantes semanas de acceso silencioso: los analistas detectaron los primeros rastros a mediados de mayo, volvieron a descartar las alertas a finales de mes y apenas el 4 de junio, cuando los intrusos ya habían instalado puertas traseras ocultas y robado archivos de credenciales, el personal declaró la brecha activa. Lo reportó Nextgov/FCW con base en un informe interno del incidente, y los investigadores aún no determinan quién está detrás.
Tres semanas de alertas descartadas antes de dar la alarma
La cronología que reconstruye el informe interno citado por Nextgov/FCW muestra un patrón que se repitió hasta que fue demasiado tarde. Todo arrancó dentro de FEMA, la agencia de manejo de emergencias que opera bajo el DHS, donde los analistas fueron los primeros en toparse con movimientos extraños en la red.
- Entre el 15 y el 24 de mayo, los analistas de FEMA vieron que alguien había alterado archivos en servidores de prueba y de producción, usaba un programa legítimo de servidor web para ejecutar código malicioso y borraba los registros de actividad que podrían haberlo delatado. La conclusión: falso positivo.
- Entre el 25 de mayo y el 3 de junio, los atacantes repitieron la jugada con las mismas técnicas para dejar el menor rastro posible. Saltaron nuevas alertas y, otra vez, se catalogaron como inofensivas.
- El 4 de junio, los intrusos instalaron puertas traseras ocultas y robaron datos de credenciales, esas que sirven para verificar la identidad de los usuarios y darles acceso a cuentas y sistemas. Solo entonces el personal reconoció que la brecha estaba activa.
No está claro por qué el mismo tipo de actividad se archivó como benigna dos veces en un lapso tan amplio. Lo que sí deja ver el caso es cuánto puede costar una lectura equivocada: cada día que una alerta se descarta es un día más que el atacante aprovecha para clavar las uñas más hondo en el sistema. Una de las personas al tanto de la investigación explicó a Nextgov/FCW que el ataque usó técnicas pensadas para disfrazar la actividad como si fuera normal, algo que, en general, vuelve muy difícil para un analista distinguir lo legítimo de lo que no lo es.
Por qué una red del DHS toca de cerca al Mundial 2026
HSIN (Homeland Security Information Network) es la plataforma que el DHS usa para que sus usuarios autorizados accedan a datos de forma segura, intercambien solicitudes con agencias socias, coordinen la seguridad de eventos planeados, respondan a incidentes y compartan información para proteger a sus comunidades. No maneja material clasificado, pero sí datos delicados, y ahí está el problema.
La red ha servido de apoyo para los partidos del Mundial 2026 que se juegan en Estados Unidos y para los recientes eventos del America250, el aniversario 250 de la independencia estadounidense. Lo dijo Mark Warner, vicepresidente del Comité de Inteligencia del Senado (demócrata por Virginia), tras conocerse la brecha:
"La información en HSIN, aunque no está clasificada, es altamente sensible, y su exposición pone en riesgo la seguridad nacional."
El detalle no es menor para los aficionados de este lado del mapa. El Mundial 2026 es el primero que organizan tres países a la vez, Estados Unidos, México y Canadá, y se juega del 11 de junio al 19 de julio, con once sedes en territorio estadounidense y tres en México (Ciudad de México, Guadalajara y Monterrey). Mientras el balón rueda, la posibilidad de que los intrusos hayan tenido a la vista planes de seguridad, comunicaciones entre agencias o protocolos de respuesta ante emergencias de uno de los eventos más observados del planeta es justo el tipo de pregunta que deja abierta un incidente de este tamaño. También cabe el otro escenario: que los datos del Mundial nunca hayan estado en la mira.
Un responsable sin identificar y una posible cita con el Congreso
Por ahora hay más preguntas que certezas. Los investigadores del DHS no han logrado establecer la filiación de los atacantes, según dos personas con conocimiento de la pesquisa que hablaron bajo condición de anonimato. Tampoco está claro qué material, si es que alguno, se copió de los sistemas de HSIN. El dato que sí orienta: los intrusos fueron tras los archivos de credenciales, y eso sugiere que buscaban llegar a cuentas o sistemas más allá de lo que ya habían alcanzado.
El DHS no respondió de inmediato a una solicitud de comentarios; un vocero había dicho antes que el departamento investiga el incidente. En las próximas semanas, la agencia podría enviar personal a informar al Congreso sobre el hackeo en una sesión clasificada.
Nada de esto ocurre en el vacío. Los grupos ligados a Estados y las bandas criminales tantean de forma rutinaria los sistemas del gobierno estadounidense para robar información y mantener el acceso. En febrero, una intrusión que se sospecha vinculada a China en un sistema de vigilancia del FBI habría expuesto los números de teléfono de personas bajo monitoreo del buró. El otoño pasado, una brecha amplia en FEMA permitió a los hackers llevarse datos de empleados de esa oficina y de la Oficina de Aduanas y Protección Fronteriza (CBP).
Un atacante entra por una falla técnica, pero se queda por una decisión humana. Durante casi tres semanas, el DHS tuvo las señales del ataque frente a los ojos y las leyó como ruido. Ahora, con el Mundial en marcha, credenciales robadas en manos de un intruso sin rostro y una posible comparecencia a puerta cerrada ante el Congreso, la agencia tiene que explicar cómo su propia red terminó siendo el punto ciego.
Preguntas rápidas sobre la brecha en el DHS
¿Qué es HSIN, la red del DHS que hackearon?
HSIN (Homeland Security Information Network) es la plataforma del Departamento de Seguridad Nacional de EE. UU. para compartir de forma segura datos sensibles pero no clasificados entre socios federales, estatales, locales e internacionales, coordinar la seguridad de eventos y responder a incidentes.
¿El hackeo al DHS afecta la seguridad del Mundial 2026?
HSIN da soporte a los partidos del Mundial 2026 en Estados Unidos, así que la brecha abre la duda sobre si los intrusos vieron planes de seguridad o de respuesta. No está confirmado que los datos del torneo fueran un objetivo, y podría ser que nunca estuvieran en la mira.
¿Qué robaron los hackers del DHS?
Según el informe interno citado por Nextgov/FCW, los intrusos robaron archivos de credenciales, usadas para verificar identidades y dar acceso a cuentas y sistemas. Aún no se sabe qué otro material, si alguno, se copió de HSIN.
Fuente: 1