Ciberataques a dependencias, sistema hackeado

27 de Feb, 2020

Los hackers cada vez son más inteligentes. Ante el nivel de experiencia que poseen, el país está expuesto a sufrir ciberataques en todos los niveles, sobre todo porque en los últimos años se ha convertido en uno de los blancos favoritos ante la vulnerabilidad de sus sistemas.

El gran Talón de Aquiles de México es que no cuenta con la seguridad informática que se requiere para proteger sus datos sensibles.

Lo que le ha pasado una factura muy alta a la economía, ya que el costo de los ciberataques van de los 107 millones de dólares hasta los 8 mil millones de dólares, de acuerdo con diversos análisis elaborados por Infosecurity y la Organización de los Estados Americanos (OEA).

La lista es larga, pero los casos que más cobraron relevancia fueron los ciberataques a la red de Petróleos Mexicanos (Pemex) y el hackeo histórico al Sistema de Pagos Electrónicos Interbancarios (SPEI).

Se suma la Secretaría de Economía (SE) que el domingo 23 de febrero detectó un ataque cibernético en algunos de sus servidores y con el objetivo de proteger información sensible suspendió todo tipo de trámites.

Otro hecho que está generando diversas interrogantes es que desde el lunes contadores públicos y contribuyentes reportan fallas en el sitio del Servicio de Administración Tributaria (SAT) y hasta el cierre de esta edición las autoridades de este órgano no respondieron a las solicitudes para aclarar la situación.

Los ciberataques han dado un duro golpe a la autonomía de México, ya que tienen un costo que va desde los 107 millones de dólares hasta los 8 mil millones de dólares

México es el segundo país más atacado por ransomware en la región de América Latina, el primer lugar lo ocupa Brasil, y a nivel mundial ocupa la sexta posición con el 3.5 por ciento de las vulnerabilidades provocadas por este tipo de programas, de acuerdo con Symantec.

Hiram Camarillo, socio director de seguridad de la información y privacidad de la firma Seekurity, comenta que el mensaje que está enviando el gobierno es que no se están preocupando por la ciberseguridad, ya que al igual que muchas compañías, creen que protegerse representa más un costo que una inversión porque tienen muy arraigada la idea de que nunca les pasará nada.

“La mayoría de las dependencias, instituciones y empresas en México no están preparadas para enfrentar ciberataques y cuando se preocupan ya es demasiado tarde para remediar la situación. También ocurre que muchas veces no saben cómo resolver esta situación porque ni siquiera habían detectado que estaban siendo hackeados”, comenta Camarillo.

Especialistas aseguran que en este momento México se encuentra en un nivel de alerta 4 que significa un riesgo alto en la escala a nivel internacional.

También puedes leer: Legislar para prevenir ciberataques

Falta de estrategias contra ciberataques

El mayor problema no son los recursos, sino su aplicación. Cifras de la Secretaría de Gobernación revelan que en lo que va de la actual administración se han asignado contratos por montos que van desde los 500 mil pesos hasta los mil 200 millones de pesos en materia de ciberseguridad.

Sin embargo, el gobierno no cuenta con un plan en el que se establezca la ruta a seguir en caso de una contingencia en esta materia.

En este sentido, Andrés Velázquez, presidente de MaTTica, primer Laboratorio de Investigaciones Digitales en América Latina, explica que todos los gobiernos están expuestos a sufrir alguna afectación por parte de piratas informáticos, pero si los mecanismos de seguridad no están al 100 por ciento, difícilmente se podrá salir bien librado de esta batalla y las próximas que surjan.

México carece de una estrategia de ciberseguridad que permita establecer cuáles son los requerimientos mínimos y las acciones que se deben tomar para poder llegar a proteger todos sus activos informáticos. En este tipo de temas no se debe escatimar, pero lamentablemente en esta administración no estamos viendo un avance

Pemex bajo amenaza de ciberataques

En este momento Pemex se enfrenta a un problema adicional al de su situación financiera y niveles de producción.

Desde el año pasado la mayor compañía de petróleo en México busca recuperar información que fue secuestrada por un grupo de hackers, que de hacerse pública, podría traer graves consecuencias.

Aunque muchos creyeron que el ciberataque ya estaba bajo control, la realidad es que la Empresa Productiva el Estado (EPE) aún no despierta de la pesadilla.

A mediados de noviembre pasado se dio a conocer que un grupo de piratas informáticos le exigieron a Pemex alrededor de 5 millones en bitcoins para liberar algunos de sus sistemas.

Desde el año pasado se supo que la petrolera fue atacada y aunque el gobierno se negó a pagar el rescate por los datos secuestrados, la empresa enfrentará un nuevo problema si la información sustraída sale a la luz en los siguientes días

La presión sobre el rescate provocó que en ese momento la secretaria de Energía, Rocío Nahle, argumentara que no se pagaría dicho monto y descartó que la petrolera estuviera en una posición de vulnerabilidad gracias a que se realizó una copia de seguridad de los datos infectados por el ransomware y se logró recuperar la información cuando se limpiaron los sistemas.

No obstante, una fuente de alto rango al interior de Pemex desmintió dicha versión al argumentar que en muchos de los casos no existía un respaldo de la información sustraída, a pesar de que hasta el secretario de Hacienda, Arturo Herrera, aseguró que no se había comprometido nada importante.

La fuente que solicitó el anonimato a Reporte Índigo manifestó que el mayor problema estaba focalizado al interior de la República, ya que los trabajadores afectados no podían prender sus equipos por indicación de las autoridades de la empresa dirigida por Octavio Romero Oropeza, y los que ya habían sido “limpiados” estaban en blanco, por lo que comenzaron a solicitar las copias de archivos y documentos.

Diversas estimaciones elaboradas por analistas coinciden en que los ciberataques hacia Pemex comprometieron al menos 60 áreas y 5 por ciento de las computadoras de la empresa. A pesar de que la cifra puede parecer mínima, lo importante es la información que estaba albergada en ellas.

Hiram Camarillo, socio director de seguridad de la información y privacidad de la firma Seekurity, comparte que la petrolera sigue afectada por este ataque y mientras no se concrete una estrategia de seguridad estará en riesgo de ser exhibida y la operación de algunas de sus áreas puede verse afectada.

El ataque de Pemex debe convertirse en una lección para que el gobierno entienda que el país no está preparado para este tipo de situaciones , que aunque son comunes y ocurren todos los días, en México aún no sabemos cómo responder

También puedes leer: Ciberseguridad, responsabilidad de todos

Bomba de tiempo

Desde que se supo del ataque a Pemex, distintas compañías petroleras que operan al sur de Estados Unidos intensificaron sus medidas de seguridad con el objetivo de evitar que el ransomware de los ciberataques se expandiera más allá de la frontera norte.

Aquellas empresas que trabajan de manera directa con la mexicana bloquearon sus correos, así como las unidades flash, aunque descartaron que dejarían de trabajar en conjunto por los contratos que tienen en común.

Esta semana se dio a conocer que el grupo de operadores del ransomware DoppelPaymer anunció la creación de un sitio donde liberarán la información secuestrada de Pemex si no obtienen el rescate solicitado desde hace meses

Expertos consultados aseguran que el sitio aún no es público, pero han empezado a filtrar imágenes de cómo y en dónde los usuarios podrían hacerse de los datos.

DoppelPaymer asegura que tiene en su poder la información de cuatro empresas, de las cuales tres no se verán tan comprometidas, pero en el caso de Pemex cuentan con información incluso todavía sin clasificar.

“Es un tema crítico porque tiene que ver con datos que se podrían llegar a considerar importantes para la petrolera, pero más allá de todo eso el hecho de que salga información que incluso el gobierno no tenga identificada como crítica va a generar una desestabilización”, explica Andrés Velázquez, presidente de MaTTica.

Reprobados en protección

El ataque de Pemex es uno de los que más cobró relevancia por la información que se sustrajo, pero antes de que ocurriera ese incidente existió uno que sacudió a todo el sistema financiero del país.

En abril de 2018, el Sistema de Pagos Electrónicos Interbancarios (SPEI) fue vulnerado por un grupo de hackers en un hecho sin precedentes por su modus operandi.

La estrategia de los piratas informáticos consistió en crear más de mil cuentas para sustraer millones de pesos de diversas instituciones financieras a través del SPEI, dinero que fue retirado en cajeros y sucursales en toda la República Mexicana.

Analistas en ciberseguridad catalogaron este ataque como el más grande en la historia del país, no solo porque el nivel de alerta se ubicó en cuatro de una escala internacional de cinco, sino porque evidenció la falta de mecanismos de protección de la banca en México.

fue hacia las autoridades, ya que los participantes del banco sospechaban que la Asociación de Bancos de México (ABM), la Comisión Nacional Bancaria y de Valores (CNBV) y la Secretaría de Hacienda y Crédito Público (SHCP) tenían conocimiento de la situación, pero negaron que se tratara de un hackeo.

De igual forma, el Banco de México (Banxico) mantuvo cierta cautela al informar que estaban bajo el ataque de hackers experimentados, aunque conforme pasaron los días, Alejandro Díaz de León, gobernador de la institución, confirmó la noticia.

Los montos involucrados en envíos irregulares y sujetos a revisión ascendieron a 300 millones de pesos, aunque a la fecha se cree que el monto fue superior.

En un intento por encontrar responsables, las autoridades de Banxico comenzaron un proceso de revisión y de cumplimiento de la norma de 18 instituciones que se vieron involucradas con el ataque al SPEI.

También puedes leer: Hackean a la Secretaría de Economía y anuncia suspensión de trámites

Abrir las puertas

Meses después del ataque, el banco central hizo público el reporte de los análisis forenses en el que especialistas contratados por las instituciones determinaron que los recursos de los cuentahabientes no estuvieron en riesgo y una vez concluidas las transferencias apócrifas, los atacantes borraron muchos de sus rastros en los sistemas de las instituciones financieras vulneradas.

Es decir que el ataque no tuvo como propósito volver inoperante al SPEI o penetrar las defensas de Banxico, sino sustraer millones de pesos aprovechando las vulnerabilidades del sistema.

No obstante, los esfuerzos de Banxico, así como de las autoridades financieras y hacendarias se vieron opacados hace unos días con la publicación de la Tercera Entrega de Informes Individuales de la Fiscalización Superior de la Cuenta Pública 2018.

Los auditores advirtieron que Banxico y otras instituciones de la banca de desarrollo carecen de seguridad cibernética y niveles de madurez suficientes para hacer frente a ciberataques

De igual forma la Auditoría Superior de la Federación informó que el banco central no cuenta con mecanismos que permitan establecer el perfil de riesgo de cada participante del SPEI al tomar en cuenta el nivel de cumplimiento de sus controles de seguridad.

En el informe se detalla que se emitieron 13 recomendaciones contra los ciberataques, dos promociones de responsabilidad administrativa sancionatoria y un pliego de observaciones por los cuales se determinaron que existen 1.5 millones de pesos pendientes por aclarar.

Andrés Velázquez, presidente de MaTTica, explica que, a diferencia de lo que ocurre con el ransomware o secuestro de datos, el ataque al SPEI estuvo bien dirigido y aunque ya pasaron algunos años, todavía quedan dudas sobre lo que en realidad sucedió.

“La motivación de este ataque fue vulnerar al sistema con el objetivo de obtener un beneficio económico, se trató de hackers con un conocimiento muy amplio.

El sector financiero está haciendo muchos esfuerzos en ciberseguridad, pero son aislados y tal vez un poco de transparencia ayudaría a mejorar sus controles