La historia detrás de la cibervulnerabilidad de la Sedena

¿CUÁL ES LA HISTORIA?

EMEEQUIS.–Que se haya hackeado a la Sedena es gravísimo, que el presidente lo confirmara es gravísimo. Pero que existan antecedentes y alertas sobre esta vulnerabilidad es aún más grave.

La advertencia corrió a cargo de la Auditoría Superior de la Federación (ASF). En una revisión que el equipo de EMEEQUIS y yo realizamos a este documento, encontramos diversas anomalías a la Sedena, que dicho sea de paso, es una de los organismos más opacos.

TE RECOMENDAMOS: HACKEO: DESDE 2021 ASF REPROBÓ A SEDENA POR DEFICIENCIAS GRAVES EN CIBERSEGURIDAD

La auditoría de cumplimiento con clave 2020-0.07100-20-0068-2021 que tiene como propósito fiscalizar la gestión financiera de las contrataciones relacionadas con tecnologías de información y telecomunicaciones, la administración de riesgos, seguridad de información, entre otras revela anomalías muy graves.

En el documento, omitiendo las dos veces en que ocupa la palabra para describir el objetivo, se menciona en 11 ocasiones la palabra “riesgo”.

La primera omisión señalada incluye que los sistemas de la dependencia no contaban con guía formalizada para usuarios, y en los documentos está a la vista de cualquiera los usuarios y contraseñas que podían poner en riesgo la seguridad, integridad, confidencialidad y eficacia del portal, así como de la información contenida.

Otro de los riesgos está en el factor crítico de la falta de políticas y procedimientos institucionales, que como señala la Auditoría “podría causar confusiones, mal uso y manejo lo que podría impactar en la operación de la Secretaría”.

TAMBIÉN PUEDES LEER: EL HOSTIGAMIENTO DE GOBIERNO CDMX A QUIENES APOYAN A EBRARD

Tampoco existe una herramienta para la gestión automatizada de actualizaciones de seguridad de los sistemas operativos de la Sedena, generando una vulnerabilidad adicional.

La auditoría lo dijo explícitamente: se concluye que existen deficiencias en los controles de ciberdefensa para la infraestructura de hardware y software de la Secretaría. ¿No era suficiente?

¿Quiénes son responsables? Además de la Sedena, encontramos en este documento a cuatro empresas como las responsables de la cibervulnerabilidad: “Decsef sistemas”, “Computadoras, accesorios y sistemas”, “Debug experts” y “M&F Rservices”. En una revisión rápida encontramos a tres de las cuatro empresas mencionadas en los contratos públicos que la Plataforma Nacional de Transparencia tiene disponibles. 

Entre los hallazgos principales tenemos que “Decsef sistemas” cuenta con 11 contratos, 9 para la Sedena, uno para la Junta de Caminos del Estado de México y otro para el Instituto de Planeación Integral del Municipio de Chihuahua. Por otro lado, “Computadoras, accesorios y sistemas” tiene 63 contratos para diversas dependencias e instituciones como Sedena, IPN, Banxico, Marina, UAM y Universidades Tecnológicas. “Debug experts” no se queda atrás pues tiene 15 contratos con el Senado, el Consejo de la Judicatura Federal, el Tribunal Electoral del Poder Judicial y Coneval.

Todos estos contratos fueron celebrados entre 2019 y 2022. Es decir, en la actual administración.

Pero regresando a la auditoría, ésta fue publicada durante 2022 pero la revisión inició mucho antes. Si la Sedena comenzó a recibir comentarios desde entonces y seguro fue notificada de la publicación, tuvo el tiempo suficiente para tomar atención a estas advertencias y cuidar que información sensible no fuera vulnerada, pero esto ocurrió y lo tenemos hoy a la vista tras la revelación de Carlos Loret de Mola a través de su espacio en LatinUs. 

¿De qué sirve que haya alertas si no se hace nada? ¿Quién pagará por esta irresponsabilidad? ¿Quién va a responder a esta grave omisión y falta?

 @Sandra_Romandia

Powered by Froala Editor