EL PAÍS
ZEDRYK RAZIEL
México – 07 NOV 2022. El hackeo a los servidores del Ejército mexicano por parte del colectivo Guacamaya significó la fuga de seis terabytes de información de inteligencia de extrema sensibilidad, en uno de los mayores ataques cibernéticos a una institución pública en México. Sin embargo, no ha sido la única vulneración de gran calado en la Administración de Andrés Manuel López Obrador, ni tampoco existen garantías de que un evento semejante no se repita. La Auditoría Superior de la Federación ha publicado informes en los que ha dado cuenta de carencias y fallas en los sistemas de ciberseguridad de varias instituciones que no han sido atendidas. Los diagnósticos corresponden en su mayoría al periodo del Gobierno de López Obrador, pues en sexenios anteriores no se elaboraban auditorías sobre la gestión de las tecnologías de información institucionales y la administración de riesgos.
El ciberataque más reciente afectó los servidores de la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT) el pasado 24 de octubre. La dependencia publicó que un software malicioso infectó equipos de cómputo, lo que obligó a suspender sus sistemas para evitar vulneraciones graves y un posible robo de información. Como consecuencia de la infección, la SICT suspendió los trámites de licencias y certificados del sector aéreo y autotransporte. La intrusión también provocó un retraso en los adiestramientos e incrementos salariales de los pilotos aviadores, de acuerdo con Reforma.
La Auditoría Superior, el órgano encargado de comprobar cómo se gasta el dinero del erario asignado a las instituciones públicas, detectó desde 2019 que la SICT presentaba vulnerabilidades en materia de seguridad informática. “Se aplicó con deficiencias la metodología para el desarrollo de soluciones tecnológicas, lo cual propicia imperfecciones en la gestión de riesgos, el análisis de vulnerabilidades previo a la puesta en marcha de los aplicativos, las pruebas técnicas y funcionales, así como en el aseguramiento de la calidad de los sistemas”, señala la auditoría 346-DE.
El hackeo a la Secretaría de la Defensa Nacional (Sedena) puso al descubierto información delicada sobre el estado de salud del presidente Andrés Manuel López Obrador; reportes de inteligencia sobre cárteles de la droga; diagnósticos sobre la penetración de grupos delincuenciales en la capital de México y otras ciudades, y negociaciones bilaterales sobre extradiciones de narcotraficantes a Estados Unidos. También reveló datos sobre violaciones a los derechos humanos cometidas dentro y por el Ejército, como el uso de programas de espionaje para vigilar a objetivos no criminales, como periodistas, activistas y funcionarios; el registro de denuncias de abusos sexuales no atendidas; o cifras del elevado índice de letalidad reportado en operativos castrenses.
En 2021, un año antes del hackeo de Guacamaya, la Auditoría señaló que la dependencia no había implementado medidas para identificar brechas de seguridad ni había corregido vulnerabilidades. Tampoco había llevado a cabo configuraciones necesarias en servicios de internet, correo electrónico y dispositivos extraíbles para limitar el tipo de información que podía ingresar o salir de la secretaría y para evitar la instalación de software malicioso en sus servidores y estaciones de trabajo. La Sedena tampoco implementó medidas básicas como supervisar que sus proveedores de tecnología efectuaran mantenimientos preventivos, instalaran actualizaciones o capacitaran al personal de la institución. Todas estas fallas, sostuvo la Auditoría, representaban un riesgo a la integridad, confidencialidad y disponibilidad de los sistemas de información, lo que ponía en riesgo, desde entonces, la operación de la Sedena, de acuerdo con el informe 68-GB.
En 2021, el grupo de ciberdelincuentes Avaddon secuestró información de la Lotería Nacional e hizo pública una parte tras no haber obtenido el pago de un rescate de parte del Gobierno mexicano. El grupo de ransomware dio a conocer que tenía en su poder documentos legales y financieros, contratos e información sobre un caso de acoso sexual dentro de la empresa paraestatal. La Auditoría Superior determinó que el hackeo se debió a que los servidores funcionaban con versiones del sistema operativo sin actualizaciones de seguridad. “Los servidores afectados por el ataque cibernético tenían versiones de sistemas operativos fuera del soporte del fabricante; además, ninguno contaba con soluciones para la prevención de pérdida de datos ni con las actualizaciones de seguridad (parches); asimismo, se identificaron deficiencias en la supervisión periódica de las actividades de las cuentas privilegiadas para detectar infracciones a las políticas de seguridad, así como transacciones irregulares en los servidores de misión crítica”, señaló el órgano fiscalizador en la auditoría 187.
Otro ciberataque a gran escala afectó a la paraestatal Petróleos Mexicanos (Pemex) en noviembre de 2019, el primer año del Gobierno de López Obrador. Un grupo de hackers tomó el control de unos 6.000 equipos de los que se extrajeron 180 mil archivos. El ataque afectó la operación de las refinerías de Veracruz y Tabasco. La Auditoría determinó que en ese hackeo hubo responsabilidad de Pemex, más que del fabricante del sistema operativo (Microsoft), pues este corrigió la vulnerabilidad de los servidores expuestos seis meses antes del ataque. “Debido a la falta de gestión de actualizaciones de seguridad (parches), entre otros controles, la vulnerabilidad no fue remediada por Pemex, lo que contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa”, se indicó en el informe 413-DE. El auditor detectó, además, que la paraestatal tenía equipos de cómputo con sistemas operativos obsoletos y que no contaban con soporte de parte del fabricante, “lo cual aumenta el riesgo para la seguridad de la información, debido a la falta de actualizaciones de seguridad para remediar vulnerabilidades que están expuestas a ataques cibernéticos”.