ASF advirtió falta de blindaje y capacidad de respuesta de la Sedena ante ataques cibernéticos

0
31

La Auditoría Superior de la Federación (ASF) advirtió en 2021 que la Secretaría de la Defensa Nacional (Sedena) tenía serias deficiencias en los controles de ciberseguridad que “podrían afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de dicha dependencia”.

El Ejército no está blindado ante los hackeos, ni tiene capacidad de respuesta ante incidentes de ciberseguridad, es una de las conclusiones a las que llegó la ASF en la auditoría que realizó después de 10 años de no realizar este ejercicio a las tecnologías de información de la Sedena.

El reporte advirtió que no se realizan pruebas de escenarios de incidentes de seguridad cibernética con los usuarios de la Sedena, con la finalidad de validar que la estrategia de respuesta definida por la dependencia es adecuada y suficiente en caso de una contingencia.

Tampoco se tiene evidencia de la realización de pruebas de penetración y ejercicios de equipo rojo que identifique información y dispositivos no protegidos.

Ante un hackeo, el máximo órgano de fiscalización del país evidenció que el Ejército no tiene comunicación con organizaciones, autoridades, equipo de respuesta para emergencias informáticas o algún otro grupo, con la finalidad de notificar vulnerabilidades o incidentes de gran importancia.

Latinus dio a conocer en “Loret Capítulo 96” que un grupo internacional de hackers, autodenominado “Guacamaya”, extrajo cerca de seis terabytes de información confidencial de la Sedena.

El gobierno federal ya sabía que varias instituciones, incluida la Sedena, carecen de protección a la información cibernética y confidencial porque la ASF ha puesto énfasis en las auditorías de tecnologías de la información desde la cuenta pública 2020.

En la auditoría número 68-GB, la ASF revisó 20 controles de ciberdefensa de la Sedena y sólo dos de ellos fueron aceptables, cuatro se necesitaban fortalecer y 14 carecían de control.

Entre los 14 controles con deficiencias se encuentran: la defensa contra software malicioso, protección de datos, seguridad de software de aplicación, respuesta y manejo de incidentes de ciberseguridad y pruebas de penetración y ejercicios de equipo rojo.

De ahí que el órgano fiscalizador recomendó realizar copias de respaldo de la información contenida en los sistemas de manera periódica, ejecutar pruebas de restauración para validar su integridad e implementar mecanismos de almacenamiento en sitios alternos y fuera de línea con la finalidad de garantizar su disponibilidad en caso de presentarse alguna contingencia.

En dicha auditoría revisó otras áreas de tecnologías de la información, advirtiendo diversas irregularidades y proveedores a los que se les pagó por servicios deficientes que provocaron un probable daño al erario por 15.3 millones de pesos.

De esos recursos, 14.5 millones de pesos corresponden a irregularidades en el contrato con la empresa Distribución y Tecnologías, S.A. de C.V. para el servicio de arrendamiento de comunicación satelital móvil (plan de contingencia).

De 2016 a 2020, la Secretaría de la Defensa Nacional invirtió 2 mil 518 millones de pesos en la Dirección General de Informática y la Dirección General de Transmisiones, las cuales son las unidades responsables del gasto en materia de contrataciones de sistemas de información e infraestructuras tecnológicas, de acuerdo con la auditoría.