El pasado 14 de marzo el ejército británico tuvo constancia de que había sido víctima de un ciberataque que afectaba a su Sistema de Reclutamiento online. Dos días después cerraron temporalmente la página.
Sin embargo, hasta la fecha el Gobieno de Reino Unido no se había pronunciado al respecto ni dado explicaciones sobre la suspensión.
El medio The Register ha podido constatar como el Ministerio de Defensa británico había suspendido dicho servicio para evitar males mayores y ha confirmado que los atacantes pudieron comprometer información sensible de los potenciales reclutas.
La web para aplicar al ejército británico ya se encuentra de nuevo en funcionamiento, aunque las solicitudes online y el soporte continúan fallando. En la página puede leerse un cartel donde se advierte que están experimentando "algunos problemas técnicos".
En estos momentos el Ministerio de Defensa se encuentra trabajando con Capita, el proveedor del servicio, para medir su alcance y averiguar el método del ataque. Esta compañía firmó en 2012 un contrato con las Fuerzas Armadas británicas que ascendía a 495 millones de libras para desarrollar y gestionar la herramienta.
Parece que la herramienta está vinculada con otros sistemas del ministerio, como la JPA (Administración Personal Conjunta) y el TAFIMS (Sistema de Información de Gestión de Capacitación y Finanzas).
El cierre del servicio fue una medida preventiva. Sin servicios digitales, el Ejército retomó los sistemas de papel para llevar a cabo su actividad de reclutamiento.
Un centenar de aspirantes afectados
Se desconoce la cifra exacta de fichas que se habrían filtrado en la Dark Web. Según han podido saber en The Register, gracias a conversaciones con personas cercanas a la materia, esta se encontraría entre 125 y 150. Una fuente asegura que toda esta información se estaría vendiendo por un 1 bitcoin (más de 40.000 dólares en su precio actual).
Se trata de una filtración pequeña, si se compara con otras que han involucrado a millones de usuarios.
En estos casos la organizaciones están obligadas a informar a la Oficina del Comisionado de la Información (ICO) dentro de las 72 horas de tener conocimiento de una violación de datos personales, a menos que "no suponga un riesgo para los derechos y libertades de las personas". Sin embargo, parece que en esta ocasión no se ha notificado el ciberataque a dicha oficina.