Gobierno recorta 3.3 mil mdp en informática; dependencias hackeadas tuvieron 65% menos para ciberseguridad

La política de austeridad afectó también al presupuesto destinado a informática y prevención de ataques cibernéticos, a pesar del mayor riesgo para dependencias que manejan datos de millones de personas y empresas.


Texto: Nayeli Roldán e IMCO / Animal Político

Ilustración: Andrea Paredes

 

La administración del presidente Andrés Manuel López Obrador recortó 3 mil 300 millones de pesos en los servicios de informática y ciberseguridad en todo el gobierno. Esto ha significado que funcionarios trabajen con programas pirata y equipos obsoletos, que no tengan ni siquiera antivirus, que haya plataformas a punto del colapso y que estén en riesgo millones de ciudadanos y empresas cuyos datos están en los servidores de instituciones, como la CURP, pasaportes, reportes fiscales y contratos, entre otros.

Además, el riesgo cibernético se materializó durante el actual sexenio con el hackeo a instituciones tan fundamentales para la seguridad y la economía del país como la Secretaría de la Defensa Nacional, Petróleos Mexicanos, la Secretaría de Infraestructura, Comunicaciones y Transportes y la Secretaría de Economía, sin que hasta el momento se haya informado el monto de las pérdidas monetarias ni de datos.

En los cuatro casos, las instituciones tuvieron recortes presupuestales de hasta 65% en las áreas relacionadas con informática, como parte de las medidas de austeridad impuestas por el presidente López Obrador al inicio de su mandato.

El caso extremo ocurrió en la SICT, con el recorte de 65% del presupuesto para nueve rubros relacionados con la informática entre 2018 y 2022, mientras que el gasto específico de servicios de ciberseguridad tuvo 402 millones de pesos menos en el mismo periodo.

El riesgo se concretó. El 24 de octubre, la secretaría fue hackeada y paralizada, pues, como parte de las acciones contra el ataque y para evitar más afectaciones, suspendió todos los trámites a su cargo desde esa fecha y hasta el 31 de diciembre, según informó a través del Diario Oficial de la Federación.

Sin embargo, desde 2019, la SICT alertó que tenía esta vulnerabilidad. “La dependencia no ha implementado los mecanismos mínimos en materia de seguridad informática que permitan monitorear e instrumentar controles efectivos que respondan a los riesgos de fuga de información o de otro tipo de amenazas”, reportó en su Programa de Trabajo de Administración de Riesgos (PTAR), documento en el que se informan los problemas que podrían impedir el cumplimiento de objetivos y metas.

Ese recorte en materia de informática o “ahorro” —como se ha tratado en la administración lopezobradorista— ni siquiera se compara con los recursos que mueven la industria del transporte y las cadenas de suministro para todo el país que se vieron afectadas.

Solo en la frontera entre Tijuana y San Diego ocurren alrededor de 4 mil exportaciones todos los días, lo que representan más de 240 millones de dólares, mientras que en la importación se registran 8 mil operaciones al día que equivalen a más de 480 millones de dólares, de acuerdo con Israel Delgado, vicepresidente de la región noroeste de la Cámara Nacional del Autotransporte de Carga (Canacar).

Para que eso ocurra, la industria necesita que sus choferes tengan documentos en regla, pero, debido al hackeo, la secretaría suspendió la “expedición y renovación de licencia federal de conductor, así como los trámites de expedición de permisos de autotransporte federal, transporte privado y sus servicios auxiliares”.

También, todos los trámites ante la Agencia Federal de Aviación Civil, a partir del 24 de octubre y hasta el 31 de diciembre de 2022, justamente el periodo de auge comercial que demanda mayor transporte de mercancías.

Hasta el 2 de noviembre, la industria de transporte se encontraba aún en “crisis y caos”, según denunció Elias Dip, presidente de la Confederación Nacional de Transportistas Mexicanos (Conatram), en un video publicado en su cuenta de Twitter y en el que pedía a la SICT implementar medidas urgentes para resolver el problema.

Luego del llamado de la industria, la secretaría organizó una primera mesa de trabajo donde se comprometió a continuar con la recepción de trámites prioritarios en los kioskos emergentes instalados, pero hasta el momento no se ha evaluado si esto evitará afectaciones en la industria y el suministro de mercancías.

El “ahorro”  

Animal Político y el Instituto Mexicano para la Competitividad (IMCO) realizaron esta investigación para analizar el impacto de la austeridad en el funcionamiento del gobierno y sus efectos en los servicios a los ciudadanos.

Uno de los temas específicos de análisis fue el gasto en informática, incluyendo la ciberseguridad, al tratarse de un aspecto indispensable para realizar cualquier actividad en todos niveles de gobierno y que atraviesa cualquier servicio al ciudadano, desde entrar a una página de internet del gobierno hasta el resguardo de datos personales durante trámites.

Con base en el análisis del “Clasificador por objeto de gasto de la administración pública”, donde se detallan los conceptos de cada bien o servicio que la administración federal compra o contrata, la consulta de fuentes como exoficiales mayores y actuales funcionarios encargados de las compras, y la revisión de contratos para servicios de informática, se seleccionaron nueve conceptos relacionados con las compras y contrataciones sobre bienes y servicios de tecnologías de la información.

Entre ellos están la adquisición, el arrendamiento y el mantenimiento de bienes informáticos; la adquisición de software; el desarrollo y mantenimiento de aplicaciones informáticas (que incluye páginas de internet); derechos de autor sobre programas de cómputo; servicios integrales de cómputo (que incluyen los especializados como ciberseguridad), así como refacciones y accesorios para equipos de cómputo y telecomunicaciones.

El análisis de gasto fue hecho con base en la Cuenta Pública y el Presupuesto de Egresos, y comparado entre 2018 y 2022, para contrastar el gasto entre la administración de Enrique Peña Nieto y de Andrés Manuel López Obrador, y entre 2019 y 2023, para comparar la evolución del gasto solo en la actual administración, dejando fuera del análisis 2020 y 2021, los años de pandemia que provocaron gastos atípicos.

De esos nueve conceptos, en 2018 hubo un gasto de 26 mil 306 millones de pesos y para 2022 bajó a 22 mil 99 millones, es decir, 3 mil 313 millones menos, lo que representa un recorte de 12%.

Sin embargo, tras los hackeos ocurridos en esta administración, el gobierno federal dio marcha atrás en su decisión de recorte a tecnologías de la información y destinará 26 mil 570 millones de pesos para 2023, una cifra parecida al último año del sexenio anterior.

De acuerdo con fuentes y contratos, la ciberseguridad es contratada a través de la partida “servicios integrales de infraestructura de cómputo”, que entre 2018 y 2022 tuvo un recorte de 19%. Es decir, la administración pública tuvo 971 millones menos para realizar las contrataciones y pagar los servicios de seguridad informática.

El mayor recorte entre los nueve conceptos referentes a informática ocurrió en la partida “servicios de mantenimiento de aplicaciones”, con la que se paga el mantenimiento de páginas de internet y el mantenimiento y soporte a los sistemas y programas ya existentes.

El recorte en este rubro, que significa el primer contacto de los ciudadanos con información de gobierno a través de internet, fue de 45%, al pasar de mil 314 millones de pesos en 2018 a 718 millones en 2022.

Estos números y los hackeos ocurridos demuestran que la vulnerabilidad informática es latente, pero la operación del gobierno y la cantidad de información en su poder debería ser razón suficiente para no escatimar en la seguridad informática puesto que todo pasa por una computadora, pero no es así, advierte Andrés Velázquez, presidente de MaTTica, laboratorio de investigación de delitos informáticos. “Tener una política de austeridad en este tema es decir ‘no quiero invertir en esto y estoy aceptando el riesgo, no importa lo que pase’”, alerta.

Economía, seguridad… vulneradas 

La Secretaría de Economía, que se encarga de regular e interactuar con todas las industrias productivas del país como la manufacturera, la minería, comercio, que regula las importaciones y exportaciones de alimentos y productos, y que tiene en su poder la información de cada una de las empresas constituidas en México, fue hackeada el 24 de febrero de 2020.

Por ello, también suspendió todos los trámites realizados ante la dependencia, como informó a través del Diario Oficial de la Federación.

Se trató del hackeo que causó la parálisis de la dependencia, pero los ataques cibernéticos aumentaron a partir de este sexenio. El gobierno pasó de tener dos ataques en 2017 a 57 en 2019, mientras que en 2020 registró 40 “incidentes”, según respondió a una solicitud de información.

Otro caso grave ocurrió en la Sedena en septiembre pasado, cuando el grupo de hacktivistas Guacamaya robó seis terabytes de información de la dependencia, incluyendo informes de seguridad nacional, contratos, reportes de inteligencia, entre otros, con consecuencias aún incalculables.

En noviembre de 2019, Pemex enfrentó el mayor hackeo de su historia, por el que piratas informáticos exigieron el pago de 4.9 millones de dólares; supuestamente no se pagaron y 10 meses después aún había aplicaciones de la empresa inoperantes.

El ataque fue posible porque los equipos no tenían antivirus, actualizaciones de seguridad ni licencias vigentes, concluyó una investigación de la Auditoría Superior de la Federación (ASF).

En ningún caso se ha informado el alcance monetario de las afectaciones, pues las autoridades han clasificado la información como “seguridad nacional”. Pemex incluso mantendrá la información reservada hasta 2025.

Sin embargo, los costos de interrupción del negocio ante un ataque suelen ser de cinco a 10 veces más altos que los costos directos, de acuerdo con la compañía Coveware, especializada en respuesta a este tipo de incidentes, como reportó el periódico El Economista.

Esto significa que, si los hackers solicitaron 4.9 millones de dólares de pago para liberar la información secuestrada, Pemex podría haber perdido entre 24 y 49 millones de dólares por dicho ataque.

En mayo de 2021, hackers obtuvieron miles de datos de la Lotería Nacional, como contratos y convenios de 2009 a 2021, documentos legales, correspondencia, finanzas, datos notariales, outsourcing, entre otros, por los que también pidieron rescate, y las afectaciones dejaron inoperantes los sistemas críticos y secundarios hasta 77 días, como reconoció la propia institución ante la Auditoría.

La vulneración a sus sistemas fue posible porque sus equipos eran obsoletos, las licencias de software habían terminado y ya no tenían soporte del fabricante, los servidores no contaban con soluciones para la prevención de pérdida de datos ni con actualizaciones de seguridad y por falta capacitación al personal encargado.

Las alertas de otras dependencias 

Los riesgos en materia de tecnología de información también se encuentran en al menos otras cinco instituciones: la Secretaría de Seguridad, la Secretaría de la Función Pública, la Secretaría de Turismo, el Registro Agrario Nacional y la Consejería Jurídica de la Presidencia.

Así lo reportaron en sus Programas de Trabajo de Administración de Riesgos, un informe trimestral y obligatorio en el que las dependencias evalúan los riesgos que amenazan sus metas y objetivos institucionales, calificados por nivel alto, medio o bajo, según la metodología establecida por la Función Pública.

Dichos documentos fueron obtenidos por Animal Político a través de solicitudes de transparencia y revelan que la Secretaría de Seguridad, por ejemplo, alertó en su informe trimestral de 2022 que tenía un riesgo “alto” en el área de tecnologías de la información, ya que la “infraestructura tecnológica está operando deficientemente”.

Por ello, requería de “actualización o renovación tecnológica integral de infraestructura de cómputo, almacenamiento, conectividad, seguridad, respaldo en el centro de Datos Principal y Centro de Datos Alterno”. Además, “gestionar la asignación del presupuesto adicional para la actualización o renovación tecnológica de infraestructura en Plataforma México”.

También, “incrementar la capacidad de procesamiento de acuerdo al presupuesto autorizado y gestionar la asignación del presupuesto adicional para la operación de la Plataforma México”.

En 2020, la Secretaría de la Función Pública alertaba que había un “acceso indebido a la plataforma tecnológica desde equipos y zonas no autorizadas del programa alertadores”, un portal de denuncia ciudadana que se realiza de forma anónima. Y temía que “un agente externo al área pueda vulnerar el sistema, bases de datos, servidores o telecomunicaciones”.

Para 2022, la falla en este rubro se volvió más grave, pues ahora el riesgo consistía en “falta de actualizaciones y parches de seguridad en los sistemas operativos que dan soporte a los sistemas de información esencial. Falta de configuración de la línea base (harderling) de seguridad de servidores y equipos de telecomunicaciones. No se encuentran las bitácoras y/o logs de base de datos y de algunos componentes de la infraestructura no están activadas”, y su personal no tenía cultura en temas de seguridad de la información.

La Secretaría de Turismo incluyó como riesgo “alto” en 2020 la “falla del equipo de seguridad perimetral (firewall) de la red debido a daño físico (falla eléctrica, falla de aire acondicionado, humedad, cambios de temperatura, daño intencionado)”.

También, una “falla del equipo de seguridad perimetral (firewall) de la red debido a configuraciones incorrectas o ataque cibernético”.

Mientras, en 2022 informó que “las medidas de seguridad físicas y tecnológicas para la protección de los datos personales de los usuarios del Centro de Documentación Turística son insuficientes”, y el personal tampoco estaba capacitado en protección de datos.

La Procuraduría Agraria reportó “falta de recursos presupuestales para la renovación de servidores obsoletos y la falta de mantenimiento a los sistemas institucionales web por el poco personal con el que se cuenta” durante 2022.

La Consejería Jurídica reportó como un riesgo que sus juicios y procedimientos fueran atendidos fuera de los tiempos legales, debido a que realizaban el “control interno de forma manual”, por lo que necesitaban implementar “un sistema de alarmas automatizado, que sirvan como una herramienta que coadyuve en la gestión de una manera oportuna, eficiente y eficaz en la atención y seguimiento de los juicios y procedimientos en los que son parte el presidente de las áreas de la Consejería Jurídica”.

 

Este texto fue elaborado por el equipo de Animal Político y lo reproducimos con su autorización.