Dulce Olvera
– Ciudad de México.– Antes de ser atacados por hackers por activismo o dinero en 2022 y 2019, la Auditoría Superior de la Federación (ASF) había advertido a la Secretaría de la Defensa Nacional (Sedena) y a Petróleos Mexicanos (Pemex) sobre la debilidad en sus controles de ciberdefensa, una falta de capacidad técnica que también permitió un ciberataque en 2021 a la Lotería Nacional (Lotenal).
“Necesitan entender que así como es importante proteger al país de cualquier ataque externo o movimiento interno, es igual de importante la ciberseguridad porque de nada te sirve cuidar un edificio cuando dejas la puerta abierta a través de internet; alguien ingresa, accede a información y te hace daño”, afirmó Hiram Alejandro Camarillo, fundador de la consultora en ciberseguridad Seekurity.
El 31 de enero de 2022, meses antes de que el grupo Guacamaya lograra infiltrarse en los correos electrónicos de la Defensa Nacional, el órgano fiscalizador alertó a la dependencia encabezada por el General Luis Crescencio Sandoval que la confidencialidad de la información —de una de las dependencias más opacas del Gobierno federal— estaba en riesgo y que, en caso de un ataque, no contaban con un protocolo de actuación.
A la par que el Ejército adquirió de Comercializadora Atsua un software para espiar a dos periodistas y a un defensor de derechos humanos de 2019 a 2021, la ASF le identificó deficiencias en la administración y operación de 18 de los 20 controles de Ciberseguridad para la infraestructura de hardware y software, ya que dos controles son aceptables, cuatro se requieren fortalecer y 14 carecen de control, lo que “podría afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la SEDENA”.
Camarillo ejemplificó que los controles en rojo son como si la Sedena tuviera “candados oxidados en las puertas”, pero no considera que sea por falta de presupuesto, sino por falta de atención y capacidad de los militares para identificar vulnerabilidades y riesgos antes de que los hackers lo hicieran.
De los 14 mecanismos que carecen de control, destacan “Protección de correo electrónico y navegador web”, “Defensa contra software malicioso (malware)” —como el que secuestró la información de Pemex—, “Protección de datos”, “Capacidad de recuperación de datos” o “Respuesta y Manejo de Incidentes de Ciberseguridad”, entre otros como se observan en el semáforo.
“Existen deficiencias en los servicios de filtrado de URL y de bloqueo de correos electrónicos, así como en los mecanismos y herramientas utilizadas para limitar el uso de lenguajes de scripting en los navegadores de Internet y clientes de correo electrónico”, observó la Auditoría meses antes de que Guacamaya lograra bajar 6 terabytes de información de correos.
Además, se descuidaron mecanismos para el monitoreo del tráfico que sale de la organización “con la finalidad de proteger la información sensible” y se carece de la definición de un procedimiento de respuesta a incidentes de ciberseguridad ni se realizan “pruebas de escenarios de incidentes de seguridad cibernética” con los usuarios de la SEDENA.
La Auditoría también observó que no se contaba con una herramienta para la gestión automatizada de actualizaciones de seguridad (parches) de sistemas operativos de la Secretaría y no se actualizó de manera manual antes de que alguien detectara la vulnerabilidad a pesar de ser gratuito.
“Dentro de esas actualizaciones muchas empresas incluyen parches de seguridad para que nadie pueda aprovecharse de algún error que comprometa la información. El software que estaban utilizando en Sedena no estaba actualizado al no prestarle atención a la versión o sus procesos de gestión son muy largos”, expuso el especialista en ciberseguridad Hiram Camarillo.
Fuente: Sin Embargo
