El gobierno, en la mira de los ciberdelicuentes, ¿cuándo llegará el próximo ataque?

En el ámbito de la ciberseguridad, se sabe que siempre existen amenazas, que tarde o temprano se manifiestan y afectan a prácticamente cualquier sector, ya sea el educativo, el financiero, la industria, infraestructura y, desde luego, el gobierno, ya sea federal, estatal o municipal, y en la mayoría de las ocasiones, el ataque inicia en forma sigilosa y pueden transcurrir días o hasta meses, para que se manifieste de alguna manera.

Hablando específicamente del sector gubernamental, en los últimos años ha registrado ciberataques que fueron ampliamente conocidos por la sociedad, aunque sin detalles. Por citar los casos más reconocidos, en noviembre del 2019 se reportó un caso en Petróleos Mexicanos[1]; en febrero de 2020 en la Secretaría de Economía[2]; en julio del mismo año, Banxico[3] y el SAT[4] recibieron un ataque; en junio de este 2021, la Lotería Nacional[5] fue la víctima, y recién en septiembre sucedió algo similar con la Plataforma Nacional de Transparencia[6], que según el Instituto Nacional de Acceso a la Información, recibió diez millones 512 mil ciberataques en cuatro días[7]. 

Desde luego, administrar una infraestructura tan vasta como la que posee el gobierno federal en sus distintas dependencias, no es una tarea sencilla, y entre los factores que dificultan el control, figuran el que hay una amplia cantidad de proveedores contratados, lo cual dificulta la gestión y la seguridad de los sistemas. Aunque por cierto, no se conoce cómo se decide y qué montos se destinan para proteger la infraestructura de TI porque no hay un dimensionamiento adecuado de los riesgos.

A ese panorama hay que agregar que no se llevan a cabo los análisis forenses adecuados de los ataques, como en el caso del ransomware que afectó a PEMEX, o de los demás ataques referidos, además de que las agresiones son de distinto tipo, como es el caso del secuestro de equipos que deriva en extorsiones y chantajes. En ese sentido, se desconoce que tanto han sido expuestos los datos privados y públicos que contienen los servidores de las dependencias oficiales, pero lo cierto es que los atacantes han cumplido, aunque sea parcialmente sus amenazas.

Aunque las dependencias afectadas reconozcan los ataques, no sabemos si hubo análisis posteriores que nos indiquen si los mismos se concretaron debido a que la licencia de antivirus se venció, o de plano no había, o qué tipo de acciones externas, o incluso internas, provocaron los ataques.

El problema es que en el año 2020, el gobierno federal recortó, en 75 %, el presupuesto para el gasto en tecnologías de información[8]; de hecho, retiró 155 millones de dólares que había estado invirtiendo en asistencia y compra de software de protección. Naturalmente, un presupuesto austero es atractivo para los ciberdelincuentes, pues representa una mayor oportunidad de vulnerar los servidores de las instituciones públicas.

Aunado a ello, desde hace ya algunos años no ha habido esfuerzos por establecer una estrategia o plan nacional que establezca las políticas a seguir en materia de ciberseguridad. El último documento conocido para elaborar una estrategia nacional se empezó a trabajar en el año 2015 y se terminó en el 2017[9], pero no alcanzó a publicarse en el Diario Oficial, por lo que no es vinculatorio y no se indica cómo debe instrumentalizarse. Si acaso el gobierno actual llegara a considerar ese documento como base, lo tendría que renovar, pero ese tema no forma parte de la agenda pública de temas relevantes del gobierno.

Desde luego, no se trata de presentar un panorama desolador en materia de ciberseguridad en el sector oficial, porque las entidades públicas hacen sus propios esfuerzos para protegerse, pero hace falta coordinación entre ellas. Además, el sector privado también está interesado el tema, y queremos sumarnos, pero debe haber conciencia de parte de las autoridades de que se deben establecer iniciativas que perduren no solo durante el gobierno actual, sino que deben trascender, independientemente de los gobiernos que lleguen.

Las dependencias gubernamentales tienen recursos y cuentan con personal capacitado, pero hace falta diseñar una estrategia clara y global de ciberseguridad. Cada entidad resuelve con sus propios medios, económicos y tecnológicos y, de hecho, hay dependencias más avanzadas que otras, como es el caso del Servicio de Administración Tributaria, pero al ver lo que ha sucedido con entidades como el INAI o el mismo PEMEX, vale la pena considerar que, por lo menos, las dependencias deberían certificarse con normas como la ISO 27001[10].

Es facultad de cada gobierno decidir hasta dónde quiere llevar el tema de ciberseguridad en el período que les corresponda, y no se trata de que este asunto represente una oportunidad para los proveedores de tecnología, ya que este tema representa poco negocio; en Latinoamérica no alcanza ni el diez por ciento de las ventas. Se trata de diseñar una estrategia que a la vez genere aprendizaje; si no hay tal, los ciberataques van a continuar, y en aumento, porque siempre estamos en la mira de los criminales. Esperemos que en lo que resta de este sexenio por lo menos se sienten las bases de una estrategia a largo plazo.

Por Jorge Osorio

[1] https://bit.ly/3bIdax3

[2] https://bit.ly/3qb8Nml

[3] https://bit.ly/3CQ39tn

[4] https://bit.ly/2ZXZLia

[5] https://bit.ly/3bKosR8

[6] https://bit.ly/3GPnl17

[7] https://bit.ly/3qbKQeJ

[8] https://bit.ly/3mMr6wi

[9] https://bit.ly/3GRZJJ8

[10] https://bit.ly/3kcmRbt