"No puedo pensar de una razón para no compartir esto con el público ", Brianna Wu tuiteó.
"Dos de mis cuentas de Google que no son de campaña fueron comprometidas por alguien en Rusia", dijo.
Wu no es cualquier otro objetivo. Como candidata demócrata para la Cámara de Representantes de EE. UU. En el Distrito 8 de Massachusetts, tiene un objetivo más grande en la espalda para los piratas informáticos que el constituyente promedio. Y como ex ingeniera de software, conoce muy bien los riesgos de ciberseguridad que conlleva postularse para un cargo político.
Pero la violación de dos de sus cuentas de Google ajenas a la campaña seguía siendo una llamada de atención.
Wu dijo que recientemente descubrió que las dos cuentas habían sido violadas. Una de las cuentas estaba conectada a su sistema de cámara Nest en casa, y la otra era su cuenta de Gmail que utilizó durante la controversia de Gamergate, durante la cual Wu estuvo un objetivo frecuente de vitriolo y amenazas de muerte. TechCrunch acordó mantener los detalles de la violación fuera del registro para no dar ventaja a ningún atacante potencial. Sin embargo, la atribución en los ataques cibernéticos puede ser notoriamente difícil porque los piratas informáticos pueden enmascarar sus huellas usando proxies y otras herramientas de anonimato.
"No creo que nadie en Rusia me esté apuntando específicamente. Creo que es más probable que apunten a todos los que se postulan para un cargo ", tuiteó.
Wu dijo que sus dos cuentas tenían "medidas de protección sólidas", incluidas "contraseñas únicas y generadas aleatoriamente para ambas cuentas". Dijo que informó las intrusiones al FBI.
"La preocupación es obviamente que podría dañar la campaña", dijo a TechCrunch. Pero ella sigue preocupada de que pueda ser una "medida activa", un término que a menudo se usa para describir la interferencia política liderada por Rusia en la política estadounidense.
Los hackers atacan con frecuencia a políticos y candidatos políticos tanto en los EE. UU. Como en el extranjero. Durante las elecciones presidenciales de 2016, el director de campaña de la candidata demócrata Hillary Clinton, John Podesta, tuvo su cuenta de correo electrónico personal pirateada
Sin embargo, hasta el día de hoy, las campañas políticas siguen siendo en gran medida responsables de su propia ciberseguridad.
"Hay mucho que los federales pueden hacer aquí, dado el tamaño del grupo de candidatos para un cargo federal", dijo Joseph Lorenzo Hall, un experto en seguridad electoral y vicepresidente senior de Internet Society.
Hall dijo que gran parte de los esfuerzos del gobierno federal se han centrado en aumentar la conciencia y en la "fruta de bajo perfil", como permitir la autenticación de dos factores. Seguridad nacional continúa breve ambas partes en las principales amenazas de ciberseguridad antes de votar a fines de noviembre, y el El FBI tiene recursos en línea para campañas políticas
Solo en los últimos meses se permitió a las empresas tecnológicas intervenir para ayudar.
Temiendo una repetición de 2016, la Comisión Federal de Elecciones el año pasado relajó las reglas para permitir que las campañas políticas federales reciban ayuda con descuento en seguridad cibernética. Que tiene también empresas permitidas
No es una solución general. Un conjunto de leyes y normas en todo Estados Unidos dificultan que las campañas den prioridad a los esfuerzos internos de seguridad cibernética. Es ilegal en Maryland, por ejemplo, usar las finanzas de la campaña para asegurar las cuentas personales de los candidatos y su personal, el mismo tipo de cuentas que los piratas informáticos solían ingresar a la cuenta de correo electrónico de Podesta en 2016. Es un ataque que permanece en los arsenales de los piratas informáticos. El año pasado, Microsoft descubrió que los piratas informáticos respaldados por Irán estaban apuntando a cuentas de correo electrónico personales "asociadas" con un candidato presidencial 2020 – cuales más tarde ocurrió para ser la campaña del presidente Trump.
Los dos principales partidos políticos de EE. UU. Han hecho esfuerzos para reforzar la ciberseguridad a nivel de campaña. Los demócratas recientemente actualizado su lista de verificación de seguridad para campañas y publicadas recomendaciones para contrarrestar la desinformacióny los republicanos se han puesto sesiones de entrenamiento para educar mejor a los oficiales de campaña.
Pero Wu dijo que los demócratas podrían hacer más para apoyar la ciberseguridad de la campaña, y que estaba hablando para implorar a otros que se postulan para el Congreso que hagan más para reforzar la ciberseguridad de su campaña.
"No hay absolutamente ninguna cultura de seguridad de la información dentro del Partido Demócrata que haya visto", dijo Wu. Las listas de recaudación de fondos se "intercambian libremente en estados no cifrados", dijo, dando un ejemplo.
"En general, no existe una cultura de actualización de software o realización de auditorías de seguridad", dijo. "El hecho de que esto no se tome en serio es realmente subrayado por Iowa y la debacle de la sombra", dijo, refiriéndose a el caucus de Iowa la semana pasada, en el que una aplicación de informes de resultados no funcionó. Más tarde se informó que la aplicación, construido por Shadow Inc., tenía varias fallas de seguridad que lo hacían vulnerable a la piratería.
Los portavoces del FBI y el Comité de Campaña del Congreso Democrático no respondieron a una solicitud de comentarios antes de la publicación.
"Infosec es caro, y sé que para muchas campañas puede parecer una prioridad baja", dijo Wu a TechCrunch.
"Pero, ¿cómo podemos liderar al país en temas de ciberseguridad si no nos apegamos a los mismos estándares que le pedimos al pueblo estadounidense que siga?", Dijo.
