Se informa que el software de seguridad fronteriza de la UE presenta numerosas vulnerabilidades.

El sistema informático utilizado por las fuerzas de seguridad en la frontera de la UE, que tiene como objetivo evitar que inmigrantes indocumentados y criminales sospechosos viajen por la región, enfrenta serias vulnerabilidades que podrían ser objeto de ciberataques. El Segundo Sistema de Información del Espacio Schengen (SIS II) es una base de datos compartida entre la mayoría de los estados de la UE para la aplicación de la ley y la seguridad pública. Según un informe colaborativo reciente, este sistema, en funcionamiento desde 2013, presenta "miles" de problemas de ciberseguridad, muchos de los cuales fueron clasificados como de "alta" gravedad por un auditor de la UE en un documento presentado el año pasado.

Aunque el informe indica que no hay evidencia de robos de datos, la gran cantidad de cuentas con acceso innecesario a la base de datos hace que sea susceptible a ser explotada. En su lanzamiento inicial, SIS II incorporó tecnologías como huellas dactilares y fotografías en sus alertas. En 2023, el software recibió una actualización que mejoró los datos y las funcionalidades existentes, incluyendo la capacidad de notificar cuando una persona ha sido deportada de un país. Romain Lanneau, un investigador legal de la organización de vigilancia Statewatch, advirtió que un ciberataque tendría consecuencias "catastróficas", afectando potencialmente a millones de personas.

Actualmente, SIS II opera en una red aislada, pero pronto estará integrado en el sistema de Entrada/Salida de la UE (EES), lo que requerirá el registro de datos biométricos para quienes viajen a áreas asociadas con Schengen. Esta conexión a Internet podría facilitar significativamente un ataque a la base de datos de SIS II.

Aunque se estima que la mayoría de los aproximadamente 93 millones de registros de SIS II corresponde a objetos como vehículos robados, aproximadamente 1.7 millones están vinculados a individuos. Además, muchas personas no suelen ser conscientes de que sus datos están registrados en la base de datos hasta que la aplicación de la ley se ve involucrada; si se filtrara esta información, podría facilitar la evasión de las autoridades por parte de personas buscadas.

La creación y mantenimiento de SIS II está a cargo de un contratista con sede en París llamado Sopra Steria. Según el informe, las vulnerabilidades notificadas tardaron entre ocho meses y más de cinco años en solucionarse, a pesar de que la empresa tiene la obligación contractual de abordar problemas considerados críticos en un plazo de dos meses tras la emisión de un parche. Un portavoz de Sopra Steria no respondió a las solicitudes de comentarios sobre las acusaciones específicas relacionadas con las fallas de seguridad de SIS II, pero manifestó en una declaración que se habían seguido los protocolos de la UE, enfatizando que SIS II es un componente clave de la infraestructura de seguridad de la UE, regido por estrictos marcos legales, regulatorios y contractuales.

Por otro lado, EU-Lisa, la agencia de la UE encargada de supervisar sistemas informáticos a gran escala como SIS II, a menudo subcontrata funciones a firmas de consultoría externas en lugar de desarrollar su propia tecnología interna. La auditoría acusó a la agencia de no informar a su dirección sobre los riesgos de seguridad que se habían señalado, a lo que la agencia respondió asegurando que todos los sistemas bajo su gestión "someten a evaluaciones de riesgo continuas, escaneos de vulnerabilidad regulares y pruebas de seguridad".