La secretaria de Trabajo, Amber Shultz, responde preguntas sobre seguridad cibernética durante la reunión del miércoles sobre reclamos de fraude de seguros.(Rachel Mipro/Reflector de Kansas)TOPEKA - El sistema de TI de Kansas para reclamos de desempleo podría haber sido pirateado por cualquier estudiante de quinto grado, dijo el presidente de un comité de supervisión durante una tensa reunión el miércoles sobre violaciones de seguridad.“La mayor parte eran cosas del tipo de la escuela primaria de las que deberíamos haber estado al tanto en primer lugar”, dijo el representante Sean Tarwater, un republicano de Stillwell y presidente del Consejo de Modernización y Mejora de la Compensación por Desempleo.La reunión, que duró casi cinco horas, se produjo después de una investigación de seguridad cibernética realizada por la firma de contabilidad FORVIS en el sistema informático del Departamento de Trabajo.El sistema ha sido criticado por su ineficiencia, especialmente durante la pandemia de COVID-19, cuando los reclamos de desempleo sobrecargaron el sistema y la falta de supervisión contribuyó al fraude de robo de identidad estimado entre $300 millones y $600 millones.El informe de investigación, encargado por el consejo de supervisión, ahora ubica esa cantidad entre $441 millones y $460 millones en reclamos potencialmente fraudulentos, dijo Tom Haldiman, empleado de FORVIS.Más del 90 % de las reclamaciones potencialmente fraudulentas se presentaron a través de Internet.Los legisladores se enfrentaron con la secretaria de Trabajo, Amber Shultz, sobre cuánta información se debe revelar al público sobre las filtraciones de datos que llevaron a un robo de identidad récord y al fraude del seguro de desempleo durante la reunión del consejo del miércoles.Tarwater dijo que quería la mayor transparencia posible sobre las infracciones, y desestimó las afirmaciones de que revelar los antiguos puntos débiles del programa de TI fomentaría futuros ataques al sistema.“Realmente no creo que haya nada en ninguno de estos informes que pueda poner a Kansas en riesgo”, dijo.Shultz apoyó mantener privada la información relacionada con los ataques.“Personalmente, pensé que era apropiado redactar esa información porque no queremos revelar ninguna información de seguridad al público en general”, dijo Shultz en una entrevista después de la reunión.Kansas Reflector obtuvo una copia del informe redactado, que no está disponible al público.Si bien se ha ocultado parte de la información, se puede acceder a todo el texto original del informe simplemente copiando y pegando desde el documento, un riesgo de seguridad en sí mismo.El informe redactado mostró tres problemas críticos de seguridad, que deben abordarse de inmediato;y dos áreas de alto riesgo, que deben ser prioritarias.Las recomendaciones para las mejoras de seguridad incluyeron preocupaciones de que los piratas informáticos pudieran acceder al tráfico del sitio y luego hacerse pasar por el sistema, además de recomendar qué tipo de dominios usan los sistemas.El informe también instó a los administradores de sistemas a utilizar contraseñas más seguras.Una recomendación señaló que algunos sistemas tenían aberturas que podrían permitir a los atacantes obtener acceso al sistema sin necesidad de una contraseña.Como parte de la investigación sobre las amenazas a la seguridad cibernética, FORVIS conectó un dispositivo de prueba a la red interna del departamento para simular un ataque cibernético.Durante la simulación, se descifraron cinco contraseñas y se interceptaron 10 protocolos de autenticación de seguridad, aunque no se accedió a información confidencial, según el informe.Los legisladores culparon al sistema obsoleto y la falta de medidas de seguridad adecuadas por las pérdidas colosales.El miembro del consejo Jake Miller, un abogado designado para el consejo por la gobernadora Laura Kelly en 2021, dijo que el sistema debería haberse actualizado hace años.“Tengo 31 años y el sistema es literalmente mayor que yo”, dijo Miller.“Pero estamos culpando a todas estas cosas, qué podríamos haber hecho en los últimos 18 meses, y lo entiendo, podría haber mejores tiempos de reacción, cosas diferentes.Era un tema pendiente.Pero mi punto es, ¿qué hubiera sido diferente en esta situación si el sistema se hubiera renovado hace siete u ocho años?”.Ha habido varios planes diferentes para revisar el sistema de TI a lo largo de los años.Estaba previsto que se reiniciara en 2011, pero la administración del exgobernador Sam Brownback detuvo los esfuerzos.La gobernadora Laura Kelly planeó modernizar el sistema central, que data de la década de 1970, antes de la pandemia, pero las revisiones del sistema no comenzaron hasta mayo de este año.Los legisladores cuestionaron a Shultz, que tiene experiencia en TI, sobre su manejo del sistema.Fue puesta a cargo en 2021, luego de la agitación dentro del departamento.Expresaron su preocupación de que Shultz no estaba haciendo lo suficiente para mejorar la seguridad, citando altas tasas de rotación departamental y reclamaciones de seguros fraudulentas en curso.Ella negó cualquier violación de datos dentro del departamento.“Nuestros sistemas no se vieron comprometidos”, dijo Shultz.“Hemos sido muy claros al respecto durante la reunión con el consejo”.Tarwater rechazó la declaración y dijo que el departamento originalmente tenía una página de sitio web abierta al público donde se podían ingresar los números de Seguro Social y, una vez ingresados, generaría toda la demás información de los contribuyentes.“Creo que nos comprometimos mucho más de lo que pensábamos”, dijo Tarwater.“Pero el hecho de que tuviéramos una página web abierta al público, que pudieras escribir aleatoriamente números de Seguro Social, supongo que muchos de esos bots que nos atacaban y que finalmente detuvimos estaban disparando números de Seguro Social en esa página”.La representante Susan Estes, republicana de Wichita, quien le preguntó a Shultz varias veces sobre sus mejoras de seguridad durante la reunión, dijo que le preocupaba que el departamento no tratara con justicia a los habitantes de Kansas a quienes les robaron la identidad.Algunos han informado que tuvieron que pagarle al Departamento de Trabajo después de que les robaron sus identidades.En un testimonio entregado durante la reunión, un contador público dijo que su cliente, una mujer de unos 70 años, fue colocada en un programa estatal de pago de deudas después de que le robaran su identidad por beneficios de desempleo fraudulentos.A pesar de sus intentos de notificar al Departamento de Trabajo sobre el fraude, el departamento ignoró sus comunicaciones y la responsabilizó por el pago fraudulento, y el Departamento de Ingresos retuvo sus reembolsos de impuestos sobre la renta de 2020 y 2021, según el testimonio.“Estoy profundamente preocupado de que esa información no se haya publicado”, dijo Estes sobre el informe.“Siento que los habitantes de Kansas tienen derecho a saber, especialmente si su vida fue destruida por la forma en que el Departamento de Trabajo los trató”.por Rachel Mipro, Kansas Reflector 8 de septiembre de 2022por Rachel Mipro, Kansas Reflector 8 de septiembre de 2022TOPEKA - El sistema de TI de Kansas para reclamos de desempleo podría haber sido pirateado por cualquier estudiante de quinto grado, dijo el presidente de un comité de supervisión durante una tensa reunión el miércoles sobre violaciones de seguridad.“La mayor parte eran cosas del tipo de la escuela primaria de las que deberíamos haber estado al tanto en primer lugar”, dijo el representante Sean Tarwater, un republicano de Stillwell y presidente del Consejo de Modernización y Mejora de la Compensación por Desempleo.La reunión, que duró casi cinco horas, se produjo después de una investigación de seguridad cibernética realizada por la firma de contabilidad FORVIS en el sistema informático del Departamento de Trabajo.El sistema ha sido criticado por su ineficiencia, especialmente durante la pandemia de COVID-19, cuando los reclamos de desempleo sobrecargaron el sistema y la falta de supervisión contribuyó al fraude de robo de identidad estimado entre $300 millones y $600 millones.El informe de investigación, encargado por el consejo de supervisión, ahora ubica esa cantidad entre $441 millones y $460 millones en reclamos potencialmente fraudulentos, dijo Tom Haldiman, empleado de FORVIS.Más del 90 % de las reclamaciones potencialmente fraudulentas se presentaron a través de Internet.Los legisladores se enfrentaron con la secretaria de Trabajo, Amber Shultz, sobre cuánta información se debe revelar al público sobre las filtraciones de datos que llevaron a un robo de identidad récord y al fraude del seguro de desempleo durante la reunión del consejo del miércoles.Tarwater dijo que quería la mayor transparencia posible sobre las infracciones, y desestimó las afirmaciones de que revelar los antiguos puntos débiles del programa de TI fomentaría futuros ataques al sistema.“Realmente no creo que haya nada en ninguno de estos informes que pueda poner a Kansas en riesgo”, dijo.Shultz apoyó mantener privada la información relacionada con los ataques.“Personalmente, pensé que era apropiado redactar esa información porque no queremos revelar ninguna información de seguridad al público en general”, dijo Shultz en una entrevista después de la reunión.Kansas Reflector obtuvo una copia del informe redactado, que no está disponible al público.Si bien se ha ocultado parte de la información, se puede acceder a todo el texto original del informe simplemente copiando y pegando desde el documento, un riesgo de seguridad en sí mismo.El informe redactado mostró tres problemas críticos de seguridad, que deben abordarse de inmediato;y dos áreas de alto riesgo, que deben ser prioritarias.Las recomendaciones para las mejoras de seguridad incluyeron preocupaciones de que los piratas informáticos pudieran acceder al tráfico del sitio y luego hacerse pasar por el sistema, además de recomendar qué tipo de dominios usan los sistemas.El informe también instó a los administradores de sistemas a utilizar contraseñas más seguras.Una recomendación señaló que algunos sistemas tenían aberturas que podrían permitir a los atacantes obtener acceso al sistema sin necesidad de una contraseña.Como parte de la investigación sobre las amenazas a la seguridad cibernética, FORVIS conectó un dispositivo de prueba a la red interna del departamento para simular un ataque cibernético.Durante la simulación, se descifraron cinco contraseñas y se interceptaron 10 protocolos de autenticación de seguridad, aunque no se accedió a información confidencial, según el informe.Los legisladores culparon al sistema obsoleto y la falta de medidas de seguridad adecuadas por las pérdidas colosales.El miembro del consejo Jake Miller, un abogado designado para el consejo por la gobernadora Laura Kelly en 2021, dijo que el sistema debería haberse actualizado hace años.“Tengo 31 años y el sistema es literalmente mayor que yo”, dijo Miller.“Pero estamos culpando a todas estas cosas, qué podríamos haber hecho en los últimos 18 meses, y lo entiendo, podría haber mejores tiempos de reacción, cosas diferentes.Era un tema pendiente.Pero mi punto es, ¿qué hubiera sido diferente en esta situación si el sistema se hubiera renovado hace siete u ocho años?”.Ha habido varios planes diferentes para revisar el sistema de TI a lo largo de los años.Estaba previsto que se reiniciara en 2011, pero la administración del exgobernador Sam Brownback detuvo los esfuerzos.La gobernadora Laura Kelly planeó modernizar el sistema central, que data de la década de 1970, antes de la pandemia, pero las revisiones del sistema no comenzaron hasta mayo de este año.Los legisladores cuestionaron a Shultz, que tiene experiencia en TI, sobre su manejo del sistema.Fue puesta a cargo en 2021, luego de la agitación dentro del departamento.Expresaron su preocupación de que Shultz no estaba haciendo lo suficiente para mejorar la seguridad, citando altas tasas de rotación departamental y reclamaciones de seguros fraudulentas en curso.Ella negó cualquier violación de datos dentro del departamento.“Nuestros sistemas no se vieron comprometidos”, dijo Shultz.“Hemos sido muy claros al respecto durante la reunión con el consejo”.Tarwater rechazó la declaración y dijo que el departamento originalmente tenía una página de sitio web abierta al público donde se podían ingresar los números de Seguro Social y, una vez ingresados, generaría toda la demás información de los contribuyentes.“Creo que nos comprometimos mucho más de lo que pensábamos”, dijo Tarwater.“Pero el hecho de que tuviéramos una página web abierta al público, que pudieras escribir aleatoriamente números de Seguro Social, supongo que muchos de esos bots que nos atacaban y que finalmente detuvimos estaban disparando números de Seguro Social en esa página”.La representante Susan Estes, republicana de Wichita, quien le preguntó a Shultz varias veces sobre sus mejoras de seguridad durante la reunión, dijo que le preocupaba que el departamento no tratara con justicia a los habitantes de Kansas a quienes les robaron la identidad.Algunos han informado que tuvieron que pagarle al Departamento de Trabajo después de que les robaron sus identidades.En un testimonio entregado durante la reunión, un contador público dijo que su cliente, una mujer de unos 70 años, fue colocada en un programa estatal de pago de deudas después de que le robaran su identidad por beneficios de desempleo fraudulentos.A pesar de sus intentos de notificar al Departamento de Trabajo sobre el fraude, el departamento ignoró sus comunicaciones y la responsabilizó por el pago fraudulento, y el Departamento de Ingresos retuvo sus reembolsos de impuestos sobre la renta de 2020 y 2021, según el testimonio.“Estoy profundamente preocupado de que esa información no se haya publicado”, dijo Estes sobre el informe.“Siento que los habitantes de Kansas tienen derecho a saber, especialmente si su vida fue destruida por la forma en que el Departamento de Trabajo los trató”.Kansas Reflector es parte de States Newsroom, una red de oficinas de noticias respaldada por subvenciones y una coalición de donantes como una organización benéfica pública 501c(3).Kansas Reflector mantiene la independencia editorial.Comuníquese con el editor Sherman Smith si tiene preguntas: info@kansasreflector.com.Siga a Kansas Reflector en Facebook y Twitter.Nuestras historias se pueden volver a publicar en línea o impresas bajo la licencia Creative Commons CC BY-NC-ND 4.0.Le pedimos que edite solo por estilo o para acortar, proporcione la atribución adecuada y enlace a nuestro sitio web.Consulte nuestras pautas de republicación para el uso de fotografías y gráficos.Graduada de la Universidad Estatal de Luisiana, Rachel Mipro ha cubierto el gobierno estatal en Baton Rouge y Nueva Orleans.Ella y su equipo de periodistas fueron semifinalistas del Premio Goldsmith 2022 por su trabajo sobre el ascenso del KKK en el norte de Luisiana, luego de los tiroteos por motivos raciales en 1960. Con su mudanza al Medio Oeste, Rachel ahora está enfocando su atención en los problemas. dentro de las políticas públicas de Kansas.Kansas Reflector es una operación de noticias sin fines de lucro que brinda informes detallados, opiniones diversas y cobertura diaria del gobierno y la política del estado.Este servicio público es gratuito para los lectores y otros medios de comunicación.Política DEIJ |Política de Ética |Política de privacidadNuestras historias se pueden volver a publicar en línea o impresas bajo la licencia Creative Commons CC BY-NC-ND 4.0.Le pedimos que edite solo por estilo o para acortar, proporcione la atribución adecuada y enlace a nuestro sitio web.