Desde hace algunos años, en México no ha habido esfuerzos por establecer una estrategia o plan nacional que establezca las políticas a seguir en materia de ciberseguridad, aunque las dependencias tengan recursos y cuenten con personal capacitado.
Se trata de diseñar una estrategia que a la vez genere aprendizaje; si no hay tal, los ciberataques van a continuar, y en aumento, “porque siempre estamos en la mira de los criminales”, aunque cada dependencia resuelva con sus propios medios, económicos y tecnológicos, señaló Jorge Osorio, de Digital Leaders Hub.
“De hecho, hay dependencias más avanzadas que otras, como es el caso del Servicio de Administración Tributaria (SAT). Pero al ver lo que ha sucedido en el INAI o Pemex, vale la pena considerar que, por lo menos, las dependencias deberían certificarse con normas como la ISO 27001”.
Y no se trata de que este asunto represente una oportunidad para los proveedores de tecnología, ya que este tema representa poco negocio; en Latinoamérica no alcanza ni el 10% de las ventas. Recordó que en el 2020, el gobierno federal recortó en 75% el presupuesto para el gasto en tecnologías de información (TI).
Además, retiró 155 millones de dólares que invertía en asistencia y compra de software de protección. Por lo que el especialista advirtió que un presupuesto austero es atractivo para los ciberdelincuentes, pues representa una mayor oportunidad de vulnerar los servidores de las instituciones públicas.
Administrar una infraestructura tan vasta como la que posee el gobierno federal en sus distintas dependencias, no es una tarea sencilla; además, una amplia cantidad de proveedores contratados dificulta la gestión y la seguridad de los sistemas.
“Aunque no se conoce cómo se decide y qué montos se destinan para proteger la infraestructura de TI porque no hay un dimensionamiento adecuado de los riesgos. A ese panorama hay que agregar que no se llevan a cabo los análisis forenses adecuados de los ataques, como en el caso del ransomware que afectó a Pemex.
“Y las agresiones son de distinto tipo, como es el caso del secuestro de equipos que deriva en extorsiones y chantajes. En ese sentido, se desconoce que tanto han sido expuestos los datos privados y públicos que contienen los servidores de las dependencias oficiales”, sentenció Osorio.
El también director de Servicios de Consultoría en CSI Consultores en Seguridad de la Información añadió que el último documento conocido para elaborar una estrategia nacional se empezó a trabajar en el año 2015 y se terminó en el 2017.
Pero no alcanzó a publicarse en el Diario Oficial de la Federación (DOF). De esta forma, si la actual administración lo considerara como base, tendría que renovarlo, pero ese tema no forma parte de la agenda pública de temas relevantes del gobierno.
“No se trata de presentar un panorama desolador en materia de ciberseguridad en el sector oficial, porque las entidades públicas hacen esfuerzos para protegerse, pero hace falta coordinación entre ellas. El sector privado también está interesado y queremos sumarnos, pero deben establecerse iniciativas que perduren y trasciendan”.
El sector gubernamental registró ciberataques muy conocidos, aunque sin detalles: En noviembre del 2019 se reportó un caso en Pemex; en febrero de 2020 en la Secretaría de Economía; en julio del mismo año, Banxico y el SAT recibieron un ataque.
En junio de 2021, la Lotería Nacional fue la víctima; y en septiembre sucedió algo similar con la Plataforma Nacional de Transparencia, que según el Instituto Nacional de Acceso a la Información (INAI), recibió 10 millones 512 mil ciberataques en cuatro días.