La Lotería Nacional fue ciberatacada con el secuestro de información del área de Pronósticos en mayo de 2021 por la falta de actualización de parches de seguridad y por versiones vulnerables del sistema operativo, de acuerdo con la Auditoría Superior de la Federación.
Ciudad de México, 30 de junio (SinEmbargo).– Por falta de actualización tanto de “parches” de seguridad como de los sistemas operativos en servidores virtuales, la Lotería Nacional sufrió un ataque cibernético en mayo de 2021 con un ransomware que secuestró información en el área administrativa, antes Pronósticos, por parte de piratas internacionales, determinó la Auditoría Superior de la Federación (ASF) en su primer informe de fiscalización de la Cuenta Pública 2021.
“El servidor de aplicaciones de legado que fue atacado tenía una versión vulnerable de sistema operativo, asimismo, no contaba con soluciones ni actualizaciones de seguridad (parches) por parte del fabricante”, expone el informe individual publicado este jueves. “No se tiene evidencia de las actualizaciones de seguridad antes del ciberataque en los [23] servidores que fueron afectados por el incidente”.
Como consecuencia, se dañaron 44 sistemas, aplicativos, software de gestión y base de datos, de los cuales cinco eran de criticidad alta (11.4 por ciento), 24 de criticidad media (54.5 por ciento) y 15 de criticidad baja (34.1 por ciento), lo que impidió la operación entre 27 a 77 días de los sistemas críticos y secundarios.
“Se tienen insuficiencias en la gestión de las actualizaciones de seguridad, en consecuencia, los servidores no cuentan con la última versión de los parches liberados por los fabricantes, lo que ocasiona que los sistemas estén desprotegidos ante los atacantes, lo cual podría provocar la pérdida de información, denegación del servicio y la interrupción de las operaciones del organismo”, determinó el órgano fiscalizador.
SORTEOS NO AFECTADOS
En un comunicado publicado en mayo del año pasado, y luego de que Petróleos Mexicanos (Pemex) también fue atacado con un ransomware en 2019, Lotenal informó que atendió el problema de inmediato, inició un programa de modernización de sus sistemas informáticos y aclaró que los concursos y sorteos “no se vieron afectados y operan con normalidad” e igualmente estaba garantizado el pago de premios.
En el informe de la Auditoría Superior de la Federación se plantea que el incidente de seguridad informática afectó servidores virtuales que se encontraban administrados bajo el contrato número 012-2021 “Servicio de un Centro de Administración Tecnológica (CAT) Empresarial” por la compañía INNOB IT GROUP.
La Lotenal informó que consistió en un secuestro de datos (ransomware) que tuvo como vector de entrada la cuenta institucional de dos usuarios vulnerados posiblemente por un ataque de suplantación de identidad (phishing), en donde fueron reveladas sus credenciales para el acceso a la red privada virtual (VPN) hacia el interior de la red de la Lotería Nacional, para atacar un servidor de aplicaciones de legado sin actualizaciones de seguridad.
En la revisión de los 23 servidores virtuales reportados por Lotenal con afectaciones, el 30.4 por ciento (siete de ellos) tenía versiones de sistemas operativos fuera del soporte del fabricante; y adicionalmente se identificó que ninguno de los servidores contaba con soluciones para la prevención de pérdida de datos (DLP).
Respecto a las actualizaciones de seguridad (parches) con las que contaban la veintena de servidores afectados, no se tiene constancia de que antes del incidente los servidores tuvieran los parches actualizados. También durante el ejercicio de 2020 y hasta antes del ciberataque, no se realizaron pruebas de penetración a la infraestructura y soluciones tecnológicas.
Seis días después del ciberataque, el 20 de mayo de 2021, la Lotenal presentó una denuncia formal ante la Fiscalía General de la República (FGR) por los hechos que pudieran ser constitutivos de delito.
Entre las actividades para la recuperación de los servicios afectados tras el hackeo, se cambiaron las contraseñas de los usuarios con privilegios de administración; se restauraron los respaldos de información en los servidores y bases de datos; se ejecutó un escaneo de vulnerabilidades a los servidores; se revisaron los equipos de cómputo con herramientas de detección de programas maliciosos; se realizó la segmentación de las redes institucionales; se configuró el acceso a las redes inalámbricas mediante la dirección de control de acceso a medios de cada dispositivo; así como el envío de boletines de concienciación de seguridad informática a todo el personal del organismo.
En 2020, la Lotenal contó con un presupuesto de 2 mil 826 millones de pesos, de los cuales 437 millones 938 mil pesos (17.3 por ciento) corresponden a recursos relacionados con las tecnologías de información.
En relación con el estado de la ciberseguridad general de la Lotenal, el 30 por ciento de los controles de seguridad críticos tienen “deficiencias” que ponen en riesgo a los activos de información, por lo tanto, se requiere fortalecer los controles del inventario de activos de software, el uso de privilegios administrativos en las cuentas, la configuración de los equipos de red, la protección de datos, la supervisión y el monitoreo de cuentas, así como la seguridad en los desarrollos de sistemas y aplicativos.
Por ende, la Auditoría Superior de la Federación emitió la promoción de responsabilidad administrativa sancionatoria para que el Órgano Interno de Control en Lotería Nacional realice las investigaciones pertinentes y, en su caso, inicie el procedimiento administrativo correspondiente por las irregularidades de los servidores públicos que, en su gestión, omitieron establecer y supervisar el cumplimiento de las medidas de seguridad informática que aseguren la confidencialidad, disponibilidad e integridad de la información del organismo encargado de concursos y sorteos de premios millonarios.