¿Cómo está parado el Gobierno de México en ciberseguridad?
Como en cualquier gobierno, las instituciones públicas de México tienen datos que las hacen objetivos potenciales en incidentes de ciberseguridad.
De acuerdo con Jorge Osorio, director de servicios de consultoría en la firma CSI Consultores en Seguridad de la Información, sobran razones para tratar de intervenir la información o los datos que guardan las instituciones públicas en México y en cualquier otro país del mundo.
Señala que, si bien los gobiernos solían ser víctimas de incidentes de ciberseguridad motivados por el hacktivismo, en los últimos años se ha visto un incremento sustancial en “el tema monetario. En los últimos dos años y medio hemos visto mucho un doble o triple tipo de extorsión, habilitado por los esquemas de ransomware”, ya sea para recuperar archivos, para evitar daños a la reputación, o bien evitar afectaciones aún mayores a la operación de las organizaciones.
Además, de acuerdo con Adriana Armas, Country Manager para México en la firma de ciberseguridad Darktrace, en general "los sectores más atacados [por hackers durante 2020] en América Latina fueron el gobierno y el ejército".
En este contexto, la ciberseguridad debería haber crecido hasta convertirse en una de las prioridades del actual gobierno. Sin embargo, en la historia reciente se han registrado una serie de incidentes y ataques que indican la situación contraria.
Solo entre 2020 y 2021, agentes maliciosos han intervenido las páginas de varias dependencias a nivel estatal, incluido el Ayuntamiento de Morelia a solo unos días de un cambio de gobierno, la página de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), el Consejo Nacional para Prevenir la Discriminación (Conapred) y, en octubre pasado, la Comisión Nacional de Hidrocarburos (CNH).
Y hay cifras que corroboran que los agentes públicos suelen tener más problemas a la hora de enfrentar las amenazas de ciberseguridad que las compañías privadas. De acuerdo con Juan Aguirre, manager de ingeniería en Latinoamérica para la firma de ciberseguridad Sophos, para el 81% de las organizaciones mexicanas en general es un desafío encontrar talento preparado para responder a este tipo de amenazas. Otro 75% reporta restricciones de presupuesto.
Pero en el caso de las instituciones de gobierno, advierte, “estos datos son más preocupantes. Estamos hablando por encima del 90% de las organizaciones del sector público en México consideran un desafío contratar personal con experiencia. Y los presupuestos son más limitados, llegando a ser un 85% de las organizaciones del sector público que reportan este problema”.
La estrategia de ciberseguridad faltante
Vale la pena apuntar que la situación por la que pasan las instituciones gubernamentales de México en materia de ciberseguridad no es única.
Alexis Aguirre, director de Ciberseguridad para América Latina en la firma de tecnologías de la información Unisys, advierte que en “ninguna organización, por más bien parada que esté, hay un riesgo cero. En ciberseguridad, no existe el 100% de protección. Lo que existen son diferentes capas de seguridad que se pueden poner a la infraestructura […] para cada tipo de aplicación y modelo de operación”.
El especialista también señala que, en el ecosistema global, aunque México sí está entre los países más afectados por los incidentes de ciberseguridad más comunes en el mercado actual, las cifras absolutas no se acercan a las observadas en países como Estados Unidos, e incluso están por debajo de lo calculado para otros países de América Latina y el Caribe.
Pero también es evidente que hay una falta de preparación particular en el gobierno de México ante las amenazas de ciberseguridad, que se refleja en cómo se han manejado algunos de los ataques de mayor impacto de los últimos años. Por ejemplo, luego del hackeo a Petróleos Mexicanos (Pemex) en noviembre del 2019, los hackers filtraron datos de la paraestatal en internet.
Esta información, según un análisis de la Auditoría Superior de la Federación (ASF), no solo siguen disponibles para los usuarios que sepan encontrarlos. De acuerdo con especialistas de ciberseguridad, podrían estar ligados a operaciones exitosas de robo de producto en Sinaloa. Y peor aún, la ASF concluyó que Pemex aún no había hecho las correcciones necesarias para evitar un incidente similar.
Adriana Armas señala que "la infraestructura básica es muy vulnerable en México. De acuerdo con un estudio sobre el nivel de madurez de las estrategias nacionales de ciberseguridad, México registró una de las puntuaciones más bajas en materia de protección a infraestructura". El análisis en cuestión es reciente, realizado apenas el año pasado.
Por su lado, Jorge Osorio sugiere que las instituciones de gobierno no están aprendiendo ni de sus propios errores de ciberseguridad ni de las fallas de otras organizaciones públicas porque no existe una estrategia oficializada.
“No hay una estrategia de ciberseguridad. Puede haber algunos órganos reguladores que regulen hacia afuera, pero no hay nada que regule hacia adentro […]. Sería excelente que las instituciones estuvieran obligadas, a través de lineamientos internos, a que si hay un caso de ransomware en alguna de ellas, se reporte qué se puede aprender. Y así, que le sirva no solo a esa institución, sino a todas las demás”, asegura.
Irónicamente, a finales del sexenio pasado se presentó una Estrategia Nacional de Ciberseguridad que nunca se implementó y parece haber caído en el olvido durante la actual administración. Incluso organismos internacionales, como el Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA) le han reclamado al presente gobierno que esta iniciativa por fin “trascienda del papel”.
De acuerdo con Juan Aguirre, este retraso responde a que “hay una gran dificultad en las organizaciones públicas en la parte de la ejecución. No es tan fácil como en una compañía privada que se logre aprobar presupuesto y ejecutar de forma eficiente y rápida”.
Sin embargo, hay señales de que el problema solo se hará más grande en el mediano plazo. De acuerdo con Deloitte, “la cobertura contra incidentes de ciberseguridad, la defensa pobre de los gobiernos y el valor crítico de los servicios que proveen crean una retroalimentación positiva en el que los atacantes están pidiendo y recibiendo más dinero más frecuentemente”.
Y ni siquiera el retraso tecnológico histórico de México podría ayudarle a retrasar la necesidad de una estrategia nacional de seguridad efectiva en el mediano plazo. Agentes como Mer Group han advertido que la creciente digitalización de servicios de gobierno en Estados Unidos ha sido un factor clave en el aumento de incidentes en los últimos años.
Pero de acuerdo con Alexis Aguirre, “no es tan necesario automatizar todos los aspectos de una actividad para ser víctima de un incidente de ciberseguridad. Solo cuando haces tareas de mantenimiento en plantas de tratamiento de agua, energía, petróleo o cualquier industria de este tipo, siempre necesitas la ayuda de terceros. En la pandemia, esto empezó a hacerse de forma remota. Basta con que alguien tenga acceso remoto, por internet o comunicación a distancia, y darle acceso a la planta, para que por ahí venga una brecha, una amenaza”.