Millones de correos electrónicos militares de EE. UU. han sido mal dirigidos a Malí a través de una «filtración tipográfica» que ha expuesto información altamente confidencial, incluidos documentos diplomáticos, declaraciones de impuestos, contraseñas y detalles de viaje de altos oficiales.
A pesar de las repetidas advertencias durante una década, continúa un flujo constante de tráfico de correo electrónico hacia el dominio .ML, el identificador de país de Malí, como resultado de que las personas escriben mal .MIL, el sufijo de todas las direcciones de correo electrónico militares de EE. UU.
El problema fue identificado por primera vez hace casi una década por Johannes Zuurbier, un empresario de Internet holandés que tiene un contrato para administrar el dominio del país de Malí.
Zuurbier ha estado recopilando correos electrónicos mal dirigidos desde enero en un esfuerzo por persuadir a los EE. UU. para que se tomen el problema en serio. Tiene cerca de 117.000 mensajes mal dirigidos: casi 1.000 llegaron solo el miércoles. En una carta que envió a EE. UU. a principios de julio, Zuurbier escribió: “Este riesgo es real y podría ser aprovechado por adversarios de EE. UU.”.
El control del dominio .ML volverá el lunes de Zuurbier al gobierno de Malí, que está estrechamente aliado con Rusia. Cuando expire el contrato de gestión de 10 años de Zuurbier, las autoridades de Malí podrán recopilar los correos electrónicos mal dirigidos. El gobierno de Malí no respondió a las solicitudes de comentarios.
Zuurbier, director gerente de Mali Dili, con sede en Amsterdam, se ha acercado repetidamente a funcionarios estadounidenses, incluso a través de un agregado de defensa en Malí, un asesor principal del servicio nacional de seguridad cibernética de EE. UU. e incluso funcionarios de la Casa Blanca.
Gran parte del flujo de correo electrónico es spam y ninguno está marcado como clasificado. Pero algunos mensajes contienen datos muy confidenciales sobre el servicio al personal militar de EE. UU., los contratistas y sus familias.
Su contenido incluye radiografías y datos médicos, información de documentos de identidad, listas de tripulantes de barcos, listas de personal en bases, mapas de instalaciones, fotos de bases, informes de inspección naval, contratos, denuncias penales contra el personal, investigaciones internas sobre acoso escolar, viajes oficiales. itinerarios, reservas y registros fiscales y financieros.
Mike Rogers, un almirante estadounidense retirado que solía dirigir la Agencia de Seguridad Nacional y el Comando Cibernético del Ejército de EE. UU., dijo: «Si tiene este tipo de acceso sostenido, puede generar inteligencia incluso a partir de información no clasificada».
“Esto no es raro”, agregó. “No está fuera de norma que la gente cometa errores, pero la pregunta es la escala, la duración y la sensibilidad de la información”.
Un correo electrónico mal dirigido este año incluía los planes de viaje del general James McConville, el jefe de personal del ejército de EE. UU., y su delegación para una próxima visita a Indonesia en mayo.
El correo electrónico incluía una lista completa de números de habitaciones, el itinerario de McConville y otras 20 personas, así como detalles de la recogida de la llave de la habitación de McConville en el Grand Hyatt Jakarta, donde recibió una mejora VIP a una gran suite.
Rogers advirtió que la transferencia del control a Malí planteaba un problema importante. “Una cosa es cuando se trata de un administrador de dominio que intenta, incluso sin éxito, articular la preocupación”, dijo Rogers. “Otra es cuando es un gobierno extranjero que. . . lo ve como una ventaja que pueden usar”.
El teniente comandante Tim Gorman, portavoz del Pentágono, dijo que el Departamento de Defensa “es consciente de este problema y toma en serio todas las divulgaciones no autorizadas de información de seguridad nacional controlada o información no clasificada controlada”.
Dijo que los correos electrónicos enviados directamente desde el dominio .mil a las direcciones de Malí «se bloquean antes de que abandonen el dominio .mil y se notifica al remitente que debe validar las direcciones de correo electrónico de los destinatarios previstos».
Cuando Zuurbier, que ha gestionado operaciones similares para Tokelau, la República Centroafricana, Gabón y Guinea Ecuatorial, adoptó el código de país de Malí en 2013, notó rápidamente solicitudes de dominios como army.ml y navy.ml, que no existían. . Sospechando que en realidad se trataba de un correo electrónico, instaló un sistema para detectar cualquier correspondencia de ese tipo, que rápidamente se vio abrumado y dejó de recopilar mensajes.
Zuurbier dice que, después de darse cuenta de lo que estaba pasando y pedir consejo legal, hizo repetidos intentos de alertar a las autoridades estadounidenses. Le dijo al Financial Times que le dio a su esposa una copia del consejo legal «por si acaso los helicópteros negros aterrizaban en mi patio trasero».
Sus esfuerzos para dar la alarma incluyeron unirse a una misión comercial de los Países Bajos en 2014 para obtener la ayuda de diplomáticos holandeses. En 2015, hizo un nuevo esfuerzo para alertar a las autoridades estadounidenses, pero fue en vano. Zuurbier comenzó a recopilar correos electrónicos mal dirigidos una vez más este año en un intento final por alertar al Pentágono.
El flujo de datos muestra algunas fuentes sistemáticas de fuga. Los agentes de viajes que trabajan para el ejército suelen escribir mal los correos electrónicos. El personal que envía correos electrónicos entre sus propias cuentas también es un problema.
Un agente del FBI con una función naval intentó reenviar seis mensajes a su correo electrónico militar y los envió accidentalmente a Malí. Uno incluía una carta diplomática urgente de Turquía al Departamento de Estado de EE. UU. sobre posibles operaciones del militante Partido de los Trabajadores del Kurdistán (PKK) contra los intereses turcos en EE. UU.
La misma persona también envió una serie de informes sobre el terrorismo interno de los EE. UU. marcados como «Solo para uso oficial» y una evaluación global contra el terrorismo titulada «No divulgable al público ni a los gobiernos extranjeros». También se incluyó un informe «sensible» sobre los esfuerzos del Cuerpo de la Guardia Revolucionaria Islámica de Irán para utilizar a los estudiantes iraníes y la aplicación de mensajería Telegram para realizar espionaje en los EE. UU.
Gorman le dijo al FT: «Si bien no es posible implementar controles técnicos que impidan el uso de cuentas de correo electrónico personales para asuntos gubernamentales, el departamento continúa brindando orientación y capacitación al personal del Departamento de Defensa».
Alrededor de una docena de personas solicitaron por error contraseñas de recuperación para un sistema comunitario de inteligencia que se enviaría a Malí. Otros enviaron las contraseñas necesarias para acceder a los documentos alojados en el intercambio de archivos de acceso seguro del Departamento de Defensa. El FT no intentó usar las contraseñas.
Muchos correos electrónicos son de contratistas privados que trabajan con el ejército estadounidense. Veinte actualizaciones de rutina del contratista de defensa General Dynamics relacionadas con la producción de cartuchos de entrenamiento con granadas para el ejército.
Algunos correos electrónicos contienen números de pasaporte enviados por la agencia de emisiones especiales del departamento de estado, una entidad que emite documentos a diplomáticos y otras personas que viajan por asuntos oficiales para los EE. UU.
El ejército holandés utiliza el dominio army.nl, a una pulsación de tecla de army.ml. Hay más de una docena de correos electrónicos del personal holandés en servicio que incluyeron conversaciones con homólogos italianos sobre una recogida de municiones en Italia e intercambios detallados sobre tripulaciones de helicópteros Apache holandeses en los EE. UU.
Otros incluyeron discusiones sobre futuras opciones de adquisición militar y una queja sobre la vulnerabilidad potencial de una unidad Apache holandesa a un ataque cibernético.
El Ministerio de Defensa holandés no respondió a una solicitud de comentarios.
Ocho correos electrónicos del Departamento de Defensa de Australia, destinados a destinatarios estadounidenses, se extraviaron. Esos incluyeron una presentación sobre los problemas de corrosión que afectan a los F-35 australianos y un manual de artillería «llevado por los oficiales del puesto de mando para cada batería».
El Ministerio de Defensa australiano dijo que “no comenta sobre asuntos de seguridad”.