¿Merecemos ser hackeados?
¿Se acuerda usted – amable y única lectora – del bochornoso episodio a la mexicana denominada Guacamaya Leaks? Apenas en octubre del año anterior, una organización internacional de piratas informáticos (por designarlos de la manera más elegante posible) aseguró haberse infiltrado en los servidores de la mismísima Secretaría de la Defensa Nacional, extrayendo seis terabytes de información interna y desde luego, confidencial. El grupo de hackers denominado Guacamaya, mismo que opera principalmente en Latinoamérica y que ya antes había difundido datos sensibles de los gobiernos de Chile y Perú, obtuvo información militar de nuestro país contenida en algo así como 4 millones de correos electrónicos enviados y recibidos durante la última década. Tan grave fue el ataque que hay quienes afirman que la cantidad de información obtenida del organismo castrense es tres veces mayor a la divulgada en los llamados Pandora Papers; aquellos que revelaron documentos financieros de interés en el año 2021.
Según los analistas, la irrupción de Guacamaya en las entrañas informáticas mexicanas expuso una serie de secretos que van desde la creciente influencia del ejército sobre el Gobierno de la República, hasta las sospechas de vínculos entre funcionarios de alto rango y miembros del crimen organizado, pasando por el supuesto uso del software israelí Pegasus, con el propósito de espiar a periodistas y activistas en nuestro país. Por supuesto, las referencias contenidas en los reportes de los hackers fueron desmentidas por la autoridad federal y hasta ahora, nada de lo dicho ha sido acreditado.
Pero la cosa no paro ahí, a menos de un mes de que se hiciera público el ataque informático a la SEDENA, la Secretaría de Infraestructura, Comunicaciones y Transportes alertó sobre un suceso de similares características. Ante un nuevo ilícito, la mencionada dependencia activó el llamado protocolo nacional homologado de gestión de incidentes cibernéticos, por lo que se vio obligada a suspender plazos y trámites. La lista crece con sorprendente rapidez; de hecho, desde 2019 las bases de datos de diversos organismos como la Lotería Nacional, el IMSS y la Secretaría de Economía han sido vulneradas; incluso, el pirateo informático ha llegado a las dos principales empresas productivas del Estado: PEMEX y CFE. Como si lo anterior fuera poco, de acuerdo con datos proporcionados por la unidad de investigación de la empresa de ciberseguridad Silikn, al menos 60 órganos gubernamentales presentan propensión a los atentados cibernéticos; lo anterior, ya que estás áreas utilizan la plataforma de correo Zimbra sin gestionar adecuadamente sus debilidades, lo que pone en riesgo la seguridad de su información.
Ante el terrible aumento de casos, lo esperable sería que se enfocaran esfuerzos para la prevención y el combate de los ilícitos cibernéticos, pero lamentablemente no es así. En México, la inversión en ciberseguridad vive su peor momento. Tan solo el 0.41 por ciento del Presupuesto de Egresos de la Federación en 2023 será destinado a servicios de tecnologías de información para instituciones y dependencias; de ahí, los recursos que se dispongan para proteger la infraestructura informática del gobierno serán mínimos. Según la consultora Select, empresa encargada de análisis especializados sobre tecnologías de la información, el presupuesto público destinado a ciberseguridad es el más bajo en décadas, solo por detrás del año 2016 en el que se asignó el 0.36 por ciento para este rubro.
Aquí en confianza, México se ha convertido en el país de América Latina más vulnerable a los ciberataques, registrando 85 mil millones de intentos de acceso ilegal tan solo durante el primer semestre del año anterior. El panorama es altamente preocupante; si los organismos públicos que resguardan información crítica y sensible pueden ser objeto de atentados cibernéticos perpetrados con cierta facilidad, que puede esperarse de las instituciones financieras que manejan diariamente más de cuatro millones de transferencias a través del sistema de pagos electrónicos interbancarios, por mencionar solo un ejemplo.
Aunque las autoridades hagan como que la virgen les habla, la inversión en seguridad informática debe convertirse en una prioridad y el desarrollo de tecnologías para la protección de infraestructura cibernética debe ser una responsabilidad compartida con el sector privado.
Conocido como uno de los principales impulsores del llamado movimiento del software libre, el también escritor e historiador de la cultura hacker, Eric S. Raymond, sentenció: “Si tu empresa gasta más en café que en ciberseguridad, serás hackeado; es más, mereces ser hackeado”. Ahí se los dejo para la reflexión.
Nota. Lo antes expuesto representa
la opinión personal del autor