Advierten de riesgos por hackeo a Gobierno

Advierten de riesgos por hackeo a Gobierno

Luego que durante el sexenio han sido hackeados sistemas informáticos de Pemex, Lotenal y Bancomext, entre otras dependencias, expertos advierten de más ciberataques a instituciones públicas.

En el primer semestre del año la Lotería fue atacada por el grupo de ransomware Avaddon, quien pedía rescate a cambio de desencriptar información de la dependencia.

A dos días de que se cumpliera el plazo para el pago del rescate y sin que Lotenal hiciera comentarios, los atacantes liberaron un software para que la dependencia pudiera recuperar los datos.

Aunque las dependencias inviertan en seguridad, en ocasiones no destinan los recursos a lo que realmente se requiere, dijo Luis Ramírez Trejo, director honorario del Centro Iberoamericano para el Desarrollo.

El principio de austeridad también afecta a los planes de ciberseguridad, agregó.

“En lugar de elegir al mejor, eligen al proveedor más barato”, explicó.

Es CFE vulnerable en ciberseguridad

La Comisión Federal de Electricidad (CFE) detectó vulnerabilidades en el sistema que usa para la facturación, lo que pone en riesgo la gestión de cobros en caso de una eventualidad, como por ejemplo ataques cibernéticos, de acuerdo con una auditoría interna.

A través del Sistema Comercial (SICOM), desarrollado por la propia CFE hace más de 25 años, la empresa del Estado realiza el cobro a 44.7 millones de usuarios que en 2020 facturaron 502.8 miles de millones de pesos.

La auditoría UAS-003/2021, denominada “Auditoría sobre la eficiencia, eficacia, seguridad y confiabilidad con que opera el Sistema Comercial (SICOM) de la CFE”, concluye que la Comisión no cuenta con planes de continuidad operativa y recuperación de desastres en su sistema de facturación, por lo que no está preparada para afrontar una contingencia.

“Se procedió a la formalización de una cédula de observaciones, toda vez que el área auditada no presentó evidencia suficiente respecto a la disposición en CFE SSB (Suministrador de Servicios Básicos) de planes de continuidad operativa y de recuperación de desastres para el SICOM que cumplan (ante):

“Situación de ciberataque; pérdida de conectividad de la red de datos; procedimientos para restablecer los servicios en sitios alternos, posterior a la pérdida del centro de datos; requisitos de continuidad de seguridad de la información; pruebas y ejercicios de recuperación de desastres; ausencia de convenios y/o contratos, para proporcionar los servicios detallados de manera parcial o integral”, indicó.

La auditoría fue practicada a las empresas subsidiarias CFE Distribución y CFE Suministrador de Servicios Básicos, sin embargo, la observación fue dirigida a esta última debido a que es la responsable del SICOM.

Rafael Pazarán, especialista en tecnologías de la información de la Universidad La Salle, consideró que es muy preocupante que la CFE no cuente con planes de continuidad, pues podría perder la información de millones de clientes ante cualquier contingencia.

“Ante una eventualidad como un ciberataque, ante una eventualidad como un desastre: llámese sismo, terremoto, incendio, incluso terrorismo o ciberterrorismo, podríamos tener una discontinuidad en la facturación de CFE”, dijo.

Desde 2015, la Auditoría Superior de la Federación (ASF) ya había advertido de la falta de una estrategia para responder ante una situación que comprometiera la continuidad del SICOM.

“No se realiza una evaluación de los riesgos asociados a los escenarios definidos para la operación, por lo que en caso de presentarse, no se cuenta con una estrategia de mitigación y contingencia correspondiente”, señaló en ese entonces.

El SICOM es un sistema desarrollado de manera interna, con lenguaje de programación COBOL, que maneja sus datos en archivos indexados y cuenta con mecanismos que le permiten compartir información con otros sistemas.

Otro de los hallazgos de la auditoría fue una débil gestión de riesgos de seguridad de la información, sin embargo, en sus conclusiones dio por atendido ese punto sin detallar la forma en que CFE SSB justificó la observación.