Los controles de ciberseguridad de dependencias federales como la Sedena, Pemex y Lotenal se encuentran en rojo, lo que los hizo vulnerables a ataques cibernéticos.
Ciudad de México, 5 de octubre (SinEmbargo).– Antes de ser atacados por hackers por activismo o dinero en 2022 y 2019, la Auditoría Superior de la Federación (ASF) había advertido a la Secretaría de la Defensa Nacional (Sedena) y a Petróleos Mexicanos (Pemex) sobre la debilidad en sus controles de ciberdefensa, una falta de capacidad técnica que también permitió un ciberataque en 2021 a la Lotería Nacional (Lotenal).
“Necesitan entender que así como es importante proteger al país de cualquier ataque externo o movimiento interno, es igual de importante la ciberseguridad porque de nada te sirve cuidar un edificio cuando dejas la puerta abierta a través de internet; alguien ingresa, accede a información y te hace daño”, afirmó Hiram Alejandro Camarillo, fundador de la consultora en ciberseguridad Seekurity.
El 31 de enero de 2022, meses antes de que el grupo Guacamaya lograra infiltrarse en los correos electrónicos de la Defensa Nacional, el órgano fiscalizador alertó a la dependencia encabezada por el General Luis Crescencio Sandoval que la confidencialidad de la información —de una de las dependencias más opacas del Gobierno federal— estaba en riesgo y que, en caso de un ataque, no contaban con un protocolo de actuación.
A la par que el Ejército adquirió de Comercializadora Atsua un software para espiar a dos periodistas y a un defensor de derechos humanos de 2019 a 2021, la ASF le identificó deficiencias en la administración y operación de 18 de los 20 controles de Ciberseguridad para la infraestructura de hardware y software, ya que dos controles son aceptables, cuatro se requieren fortalecer y 14 carecen de control, lo que “podría afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la SEDENA”.
Camarillo ejemplificó que los controles en rojo son como si la Sedena tuviera “candados oxidados en las puertas”, pero no considera que sea por falta de presupuesto, sino por falta de atención y capacidad de los militares para identificar vulnerabilidades y riesgos antes de que los hackers lo hicieran.
De los 14 mecanismos que carecen de control, destacan “Protección de correo electrónico y navegador web”, “Defensa contra software malicioso (malware)” —como el que secuestró la información de Pemex—, “Protección de datos”, “Capacidad de recuperación de datos” o “Respuesta y Manejo de Incidentes de Ciberseguridad”, entre otros como se observan en el semáforo.
“Existen deficiencias en los servicios de filtrado de URL y de bloqueo de correos electrónicos, así como en los mecanismos y herramientas utilizadas para limitar el uso de lenguajes de scripting en los navegadores de Internet y clientes de correo electrónico”, observó la Auditoría meses antes de que Guacamaya lograra bajar 6 terabytes de información de correos.
Además, se descuidaron mecanismos para el monitoreo del tráfico que sale de la organización “con la finalidad de proteger la información sensible” y se carece de la definición de un procedimiento de respuesta a incidentes de ciberseguridad ni se realizan “pruebas de escenarios de incidentes de seguridad cibernética” con los usuarios de la SEDENA.
La Auditoría también observó que no se contaba con una herramienta para la gestión automatizada de actualizaciones de seguridad (parches) de sistemas operativos de la Secretaría y no se actualizó de manera manual antes de que alguien detectara la vulnerabilidad a pesar de ser gratuito.
“Dentro de esas actualizaciones muchas empresas incluyen parches de seguridad para que nadie pueda aprovecharse de algún error que comprometa la información. El software que estaban utilizando en Sedena no estaba actualizado al no prestarle atención a la versión o sus procesos de gestión son muy largos”, expuso el especialista en ciberseguridad Hiram Camarillo.
CIBERATAQUES A PEMEX Y LOTENAL
El 12 de junio de 2019, la Auditoría Superior de la Federación (ASF) también advirtió a Petróleos Mexicanos (Pemex) sobre sus deficiencias en control de ciberseguridad, sobre todo que algunos equipos de los trabajadores “no se encontraban protegidos”, lo que los hacía vulnerables a ataques cibernéticos.
“Las deficiencias en las configuraciones de seguridad en los dispositivos de comunicaciones, la falta de análisis de vulnerabilidades previo a la puesta en marcha de los sistemas, la carencia de alertas para prevenir la fuga de información por parte de los prestadores de servicios y la falta de un Análisis de Impacto al Negocio desde la perspectiva de la Alta Dirección de Pemex, representan un probable riesgo para la operación de los procesos y servicios, aunado a que comprometen la integridad, confiabilidad y disponibilidad de los activos de la Empresa”, determinó el órgano fiscalizador.
Cinco meses después, en noviembre de 2019, una computadora de Pemex en Tabasco fue infectada por un ransomware que, al no ser formateada a tiempo, infectó a la red de la petrolera, lo que durante días paralizó sus operaciones en las refinerías, gasolineras y en los hospitales.
A diferencia del grupo Guacamaya, que dice hackear a empresas y gobiernos contra el extractivismo del Norte Global y las fuerzas armadas, el ciberataque a Pemex fue un secuestro de información a cambio de 4.9 millones de dólares en bitcoins en su momento minimizado por la Secretaria de Energía (Sener) Rocío Nahle.
Otra víctima de un ransomware, que encriptó información de Pronósticos a cambio de un pago, fue la Lotería Nacional en mayo de 2021. De acuerdo con el dictamen de la ASF realizado posterior al ataque, fue por falta de actualización tanto de “parches” de seguridad como de los sistemas operativos en servidores virtuales.
“El servidor de aplicaciones de legado que fue atacado tenía una versión vulnerable de sistema operativo, asimismo, no contaba con soluciones ni actualizaciones de seguridad (parches) por parte del fabricante”, expuso en un informe individual publicado en junio.
En relación con el estado de la ciberseguridad general de la Lotenal, el 30 por ciento de los controles de seguridad críticos tienen “deficiencias” que ponen en riesgo a los activos de información, por lo tanto, recomendó fortalecer los controles del inventario de activos de software, el uso de privilegios administrativos en las cuentas, la configuración de los equipos de red, la protección de datos, la supervisión y el monitoreo de cuentas, así como la seguridad en los desarrollos de sistemas y aplicativos.
Hasta después del ataque, Lotenal informó que atendió el problema de inmediato, inició un programa de modernización de sus sistemas informáticos y aclaró que los concursos y sorteos “no se vieron afectados y operan con normalidad” e igualmente estaba garantizado el pago de premios.