El Homeland Security Information Network (HSIN), la base de datos que los cuerpos de seguridad federales, estatales y locales de EE.UU. usan para compartir información de seguridad y coordinar operaciones —incluyendo los dispositivos para el Mundial de Fútbol que se celebra en EE.UU. en 2026— fue comprometida por atacantes desconocidos. Eso ya se sabía. Lo que publica ahora Nextgov/FCW es el segundo capítulo: los analistas del Departamento de Seguridad Nacional (DHS) recibieron al menos dos alertas válidas sobre la brecha y las descartaron como falsos positivos.Lo cubre Mike Pearl en Gizmodo el 14 de julio, basándose en el informe de Nextgov/FCW.Qué es HSIN y por qué importaEl Homeland Security Information Network es la infraestructura donde convergen federal, estatal y local para compartir inteligencia de seguridad en tiempo real. Los agentes del FBI, la policía de estados y ciudades, la Guardia Nacional, los gestores de emergencias y socios del sector privado en infraestructura crítica comparten ahí información sobre amenazas. No es una red clasificada: es una red de información sensible pero no clasificada (SBU, Sensitive But Unclassified).La brecha fue publicada hace semanas por Nextgov/FCW, citando fuentes anónimas. El DHS confirmó entonces mediante un comunicado haber sido «consciente de un reciente incidente cibernético que afecta a un entorno específico y no clasificado de compartición de información heredado», que sus sistemas afectados habían sido aislados y que no había indicios de que redes clasificadas hubieran sido comprometidas.El detalle que Nextgov/FCW ha publicado ahora es diferente y más preocupante: que los analistas de la Agencia Federal de Gestión de Emergencias (FEMA, parte del DHS) recibieron alertas de detección de la brecha antes de que esta fuera conocida, y las descartaron como falsos positivos. No una vez, sino al menos dos veces.El problema sistémico: desestimar dos veces la misma alertaLa narrativa de Gizmodo sobre este segundo capítulo es directa: «¿Ignorar una alerta válida sobre una brecha de ciberseguridad una vez? Culpa al intruso. ¿Ignorarla dos veces? Puede haber algo sistémicamente mal.»El patrón de desestimar alertas de seguridad como falsos positivos es uno de los problemas más documentados en la ciberseguridad organizacional. Los sistemas de detección de amenazas generan un volumen tan alto de alertas que los analistas se vuelven insensibles a ellas: la mayoría resultan ser actividad legítima marcada por error. El fenómeno, conocido como alert fatigue, lleva a que las alertas reales queden enterradas entre las falsas. Si el equipo de FEMA descartó dos veces una alerta sobre una brecha real, ese es exactamente el tipo de fallo sistémico que los adversarios explotan.El DHS dio a Nextgov/FCW «el mismo comunicado que había proporcionado antes de este mes y que confirmaba el hackeo». No añadió nada nuevo. No explicó por qué las alertas fueron descartadas dos veces. No comunicó qué cambios internos ha aplicado para evitar que se repita.El timing: durante el Mundial de FútbolEl contexto temporal es relevante. La brecha se produjo mientras EE.UU. acogía el Mundial de Fútbol 2026, uno de los eventos de mayor escala de seguridad en la historia del país. El HSIN es precisamente la infraestructura que los cuerpos de seguridad federales, estatales y locales usan para coordinar respuestas a emergencias y compartir inteligencia de amenazas durante grandes eventos.Un atacante con acceso al HSIN durante el Mundial tendría visibilidad sobre los dispositivos de seguridad, los sistemas de coordinación de emergencias y potencialmente las comunicaciones entre agencias. La información en HSIN es no clasificada, pero «no clasificada» no significa «sin valor para un adversario».CISA, la agencia de ciberseguridad que forma parte del propio DHS, usó la semana pasada el modelo Anthropic Mythos para auditar código gubernamental en busca de vulnerabilidades —uno de los primeros usos documentados de IA de frontera en la defensa cibernética del gobierno americano. La brecha de HSIN y la operación de auditoría de CISA son simultáneas: el mismo DHS tiene una agencia usando IA de frontera para encontrar vulnerabilidades en sistemas gubernamentales y otra agencia descartando alertas reales de seguridad en sus propias redes.La tendencia de brechas en sistemas de salud públicos americanos también sigue activa: en mayo, NYC Health + Hospitals reportó una brecha de 1,8 millones de registros médicos y huellas dactilares con 10 semanas de acceso no detectado. El patrón es el mismo: acceso prolongado, detección tardía, notificación pública meses después. El primer zero-day exploit generado con IA documentado por Google en mayo de 2026 señalaba que los adversarios están usando IA para acelerar el descubrimiento de vulnerabilidades y el ciclo de ataque: mientras los defensores descartan alertas como falsos positivos, los atacantes usan IA para explotar ventanas de oportunidad más rápido que nunca.Mi valoraciónQue el DHS tenga un problema de alert fatigue no sorprende: es un problema universal en ciberseguridad que afecta a organizaciones mucho más sofisticadas que la media de los cuerpos de seguridad pública. Lo que sí sorprende es que el DHS haya dado el mismo comunicado sobre una brecha ya confirmada cuando se le pregunta sobre el nuevo detalle de que las alertas fueron descartadas dos veces.Lo que más me preocupa no es la brecha en sí, que en una red no clasificada puede tener consecuencias limitadas. Es la postura comunicativa del departamento: no reconocer el fallo de proceso, no dar ninguna señal de que ha aprendido algo, no comprometerse a ninguna mejora específica. Eso es exactamente el tipo de respuesta que deja a los observadores externos —y a los aliados de inteligencia extranjeros— sin información para confiar en que el problema se ha resuelto.Preguntas frecuentes¿Qué tipo de información contiene el HSIN que se vio comprometida?El HSIN contiene información sensible pero no clasificada (SBU): análisis de amenazas, coordinación de respuesta a emergencias, comunicaciones entre agencias de seguridad y socios del sector privado en infraestructura crítica. No contiene operaciones de inteligencia clasificadas, aunque la distinción entre clasificado y no clasificado puede ser menos protectora de lo que sugiere en términos de valor para un adversario.¿Qué es el alert fatigue en ciberseguridad?El alert fatigue (fatiga de alertas) es la tendencia de los analistas de seguridad a volverse insensibles a las alertas de sus sistemas de detección después de manejar miles de falsas alarmas. En entornos donde el volumen de alertas supera la capacidad de análisis del equipo, los analistas desarrollan heurísticas rápidas para descartar lo que parece poco probable. Esas heurísticas pueden ser explotadas por adversarios sofisticados que aprenden a hacer que sus ataques se parezcan a actividad legítima.¿Hay algún sistema mejor que los SIEMs (sistemas de detección de amenazas) para evitar este problema?Los enfoques más recientes incluyen IA aplicada a la detección (buscar patrones anómalos en lugar de firmas conocidas), priorización automática de alertas por criticidad estimada, y sistemas de respuesta automatizada que actúan sobre ciertos tipos de amenazas sin esperar a que un analista las revise. Google CISA está explorando exactamente este camino con Mythos. El reto es que los mismos sistemas pueden generar nuevos tipos de falsos positivos o nuevas vulnerabilidades si no están correctamente parametrizados.La noticia El Departamento de Seguridad Nacional de EE.UU. ignoró dos veces las alertas de la brecha de su red de inteligencia: «I’m sure it’s nothing» fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.