• 2 min de lectura
El DHS pasó por alto el hackeo de HSIN dos veces antes de declarar la brecha
Analistas descartaron dos veces las alertas de intrusión en HSIN como falsos positivos, lo que dio a los atacantes aproximadamente tres semanas dentro de una red clave de intercambio de información de

Imagen: TechRadar
Los atacantes pasaron aproximadamente tres semanas dentro de la red HSIN del Departamento de Seguridad Nacional de EE. UU. después de que los analistas descartaran dos veces las alertas de intrusión como falsos positivos, según un informe interno del DHS citado por DefenseOne.
La brecha se declaró el 4 de junio de 2026, pero las señales de advertencia ya habían aparecido en mayo de 2026. Durante ese tiempo, los atacantes, aún no identificados, pudieron modificar archivos de servidores, ejecutar código malicioso a través de un programa legítimo de servidor web, eliminar registros, instalar puertas traseras y robar archivos de credenciales.
HSIN es la principal plataforma del DHS para el intercambio de información no clasificada, utilizada por varias agencias de EE. UU. y socios internacionales. El momento es especialmente inoportuno: la red apoya la coordinación en torno a eventos importantes, incluido el Mundial de la FIFA y America250.
Qué hicieron los atacantes en la red HSIN
Los investigadores aún no han identificado al grupo detrás de la intrusión ni han determinado qué datos, si los hubo, fueron exfiltrados. Pero el robo de archivos de credenciales sugiere que los atacantes podrían haber intentado avanzar más allá de su acceso inicial hacia otros sistemas y cuentas.
La eliminación de registros también ha dificultado la investigación. Según el informe, sistemas automatizados y analistas marcaron actividad sospechosa ya el 15 de mayo, sin embargo el incidente no fue tratado como una brecha activa hasta, al menos, el 3 de junio.

Recomendado
El ataque HollowByte de 11 bytes puede inflar la memoria de OpenSSL
Un portavoz del DHS confirmó el incidente pero intentó reducir su alcance, declarando que el departamento está “al tanto de un incidente cibernético reciente que involucra un entorno específico y heredado de intercambio de información no clasificada” y que no hay indicios de que las redes clasificadas se hayan visto afectadas.
“aunque no está clasificado, es altamente sensible, y su exposición pone en riesgo la seguridad nacional.”
Incidentes previos en HSIN y repercusiones políticas
Esta no es la primera falla de seguridad conocida en HSIN. La plataforma sufrió previamente una cuenta comprometida en 2009 y un acceso mal configurado en 2023, lo que condujo tanto a brechas intencionales como no intencionales.
El incidente también probablemente intensificará el escrutinio sobre el DHS y la CISA, ambos, según la fuente, han absorbido recortes significativos de personal durante el último año. El personal del Comité de Seguridad Nacional de la Cámara ya solicitó una sesión informativa, y se espera que el departamento enfrente preguntas más duras en los próximos días mientras los investigadores determinan a qué accedieron los atacantes —y qué pudieron haber tomado.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía TechRadar


