El llamado de la ASF que alertó a Sedena de un ataque de hackers pero que ignoró

Antes de ser atacada por el colectivo de hackers Guacamaya, la Secretaría de la Defensa Nacional (Sedena) fue alertada desde el 31 de enero de 2022 por la Auditoria Superior de la Federación (ASF) sobre la debilidad en sus controles de ciberdefensa y se precisó que 18 de 20 controles tenían deficiencias.

Así, la dependencia federal a cargo del General Luis Cresencio Sandoval supo, al menos, desde hace varios meses que la confidencialidad de su información se encontraba en riesgo, además, ante un eventual ataque cibernético no contaban con un protocolo de actuación.

Antes de que Guacamaya lograra robar 6 Terabytes de información confidencial del Ejército, la ASF identificó deficiencias en la administración y operación de 18 de los 20 controles de ciberseguridad para la infraestructura de hardware y software.

La ASF detalló que solo dos controles resultaban aceptables, cuatro se debían fortalecer y 14 carecían de control, lo que podría afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la SEDENA.

Desde el año 2013 a 2019 no hubo una fiscalización al Ejército en áreas de tecnologías de información y de acuerdo con la información proporcionada por la Sedena, se determinó que entre 2016 y 2020, esta dependencia federal invirtió 2 millones 518 mil 665 pesos en ese rubro.

De los 14 mecanismos carentes de control, destacó la protección del correo electrónico y el navegador web, defensa contra software malicioso (malware), protección de datos, capacidad de recuperación de datos o respuesta y manejo de incidentes de ciberseguridad.

De ese modo, la Auditoría señaló hacia las deficiencias en los servicios de filtrado de URL y de bloqueo de correos electrónicos, así como en los mecanismos y herramientas utilizadas para limitar el uso de lenguajes de scripting en los navegadores de Internet y clientes de correo electrónico.

Algunos expertos en seguridad digital consideran que más allá del presupuesto, el riesgo aumentó por la falta de atención y capacidad de los militares para identificar vulnerabilidades y riesgos antes de que los hackers lo descubrieran.

Dentro de Sedena se descuidaron mecanismos para el monitoreo del tráfico que sale de la institución con la finalidad de proteger la información sensible. Sumado a la falta de un procedimiento de respuesta a incidentes de ciberseguridad no se practicaban simulacros de ataques cibernéticos.

A la Secretaría de la Defensa Nacional se le hizo la observación de que no contaba con una herramienta para la gestión automatizada de actualizaciones de seguridad, es decir el denominado parche a los sistemas operativos, y a pesar de gratuito no se actualizó de manera manual.

Contratos de Sedena con compañías que debían fortalecer su seguridad

La Auditoría también apuntó a las posibles irregularidades en los contratos con dos empresas de ciberseguridad, las cuales no fueron verificadas en los servicios que prestaron a la dependencia.

“Decsef sistemas”, “Computadoras, accesorios y sistemas”, “Debug experts” y “M&F”, son algunas empresas implicadas en la vulnerabilidad en que cayó la red del Ejército. La periodista Sandra Romandía señaló que tres de estas empresas obtuvieron contratos de 2019 a 2022, es decir, en el actual sexenio.

Con relación a la falta de fiscalización dentro de Sedena, la comunicadora expuso que no se cuenta con evidencia documental acerca de las actividades realizadas por la dependencia para verificar que los minutos que reportaba el proveedor fueran los utilizados por la Secretaría.

Además, los dictámenes técnicos carecen de documentación soporte que garantice que las cifras reportadas corresponden a lo efectivamente prestado por el proveedor.

Pemex y Lotería Nacional también fueron advertidos antes de ser hackeados

En cuanto al heckeo que sufrieron en años pasados Pemex y la Lotería Nacional, la ASF alertó el 12 de junio de 2019 a Petróleos Mexicanos sobre sus deficiencias en control de ciberseguridad, y detalló que algunos equipos de cómputo de los empleados no contaban con protección, volviéndolos vulnerables a ataques cibernéticos.

La historia es conocida, un grupo de piratas infectó una parte de la red de la petrolera y secuestró la información, obligando a la parálisis de una parte de las operaciones, cobros y pagos de la paraestatal, hasta que se cubrió un pago de rescate, del cual no hubo detalles posteriormente.

“Las deficiencias en las configuraciones de seguridad en los dispositivos de comunicaciones, la falta de análisis de vulnerabilidades previo a la puesta en marcha de los sistemas, la carencia de alertas para prevenir la fuga de información por parte de los prestadores de servicios y la falta de un Análisis de Impacto al Negocio desde la perspectiva de la Alta Dirección de Pemex, representan un probable riesgo para la operación de los procesos y servicios, aunado a que comprometen la integridad, confiabilidad y disponibilidad de los activos de la Empresa”, señaló la ASF.

Dos años después, otro órgano dle gobierno federal fue víctima de un ransomware. En mayo de 2021 la Lotería Nacional sufrió la encriptación de una parte de sus datos por la falta de actualización tanto de parches de seguridad como de los sistemas operativos en los servidores virtuales.

SEGUIR LEYENDO: