México reprobado en ciberseguridad

En los Estados Unidos la semana el FBI dio pasada la alerta de que los ataques de espionaje económico contra empresas norteamericanas van en aumento. De hecho, reportó que estos ataques han aumentado un 53% con respecto al año pasado. En los últimos meses empresas como DuPont, Lockheed-Martin y Valspar han sido atacadas cibernéticamente para robarles información económica e industrial.

También el FBI señaló que la mayoría de los ataques tienen su origen en China. Ante ello lanzó una campaña nacional para alertar a los industriales norteamericanos del riesgo de los ciberataques. Incluso, el Centro Nacional de Contrainteligencia ha señalado que la “seguridad económica es seguridad nacional”.

Pero el gobierno norteamericano también es blanco de ataques. En este año han sido atacados el Internal Revenue Service —lo que permitió el acceso a 100 mil cuentas de pago de impuestos— y la Office of Personal Management, con lo que los hackers se llevaron información de 25 millones de personas que trabajan o son contratistas del gobierno. Este ataque ha sido el más grande en la historia de los EU y según fuentes consultadas por el Financial Times fue perpetrado por China. Con esta información se podría cotejar los documentos presentados por los americanos que trabajan o visitan China a fin de identificar espías.

Pero los ataques cibernéticos no nada más son realizados por gobiernos, también por particulares buscando chantajear o robar información. De acuerdo con la Organización de Naciones Unidas (ONU) se estima que el cibercrimen y los ciberataques generan ya utilidades por más de 3,000 millones de dólares al año. La ONU también reconoce que este tipo de ataques son difíciles de perseguir por la dificultad para identificarlos; pues se trata de delitos que cruzan las fronteras y que aprovechan la conectividad global.

En México, el Programa para la seguridad nacional 2014-18 reconoce como un riesgo la ciberseguridad al existir una acotada cultura de seguridad y de tecnologías de la información, y señala como necesario que el gobierno desarrolle una política para garantizar “la defensa de los intereses económicos, políticos y militares de México en el ciberespacio”.

Sin embargo, en el Plan Nacional de Desarrollo y en el 1er y 2do Informe de Gobierno de la presente administración el tema de ciberseguridad es prácticamente inexistente. En México quién en teoría encabeza este esfuerzo es el “Centro Nacional de Respuesta a Incidentes Cibernéticos” (CERT-MX), dependiente de la Policía Federal. Debe atender denuncias de ataques a los activos tecnológicos de la infraestructura crítica de México: la Presidencia de la República, la Sedena, la CFE y el SAT.

Se conoce que en México varias dependencias, a pesar del CERT, han sufrido ataques cibernéticos: el diario alemán Der Spiegel dio a conocer que la Agencia de Seguridad de EU logró tener acceso al correo del entonces presidente Calderón y de varios miembros del gabinete; también se informó que se vulneró el correo electrónico del actual presidente Peña Nieto, en el verano de las elecciones del 2012. En 2013 Anonymus hackeó el portal institucional de la Sedena. En 2015 fue atacada la Cámara de Diputados y el INE.

De estos ataques nos enteramos dado que los atacantes lo hacen saber públicamente. No hay en México información de qué ataques se han descubierto sin publicidad de los atacantes. Ni siquiera sabemos si el CERT ha encontrado por su cuenta ataques o si sólo actúa reactivamente. Otra dependencia que apenas empieza a actuar en estos temas, aunque su información es secreta, es la Secretaría de Marina, la cual el año pasado modernizó el “Centro de Monitoreo y Respuesta a Incidentes de Seguridad en el Ciberespacio”.

Según el Índice Global de ciberseguridad 2014, elaborado por la Unión Internacional de Telecomunicaciones, México cuenta con un nivel “bajo” de preparación ante ciberamenazas. El reporte, que evalúa a 100 países usando una escala de entre 0 a 100, otorgó a México una puntuación de 32.4, siendo los países mejor evaluados EU (82.4); Canadá (79.4); Australia y Malasia (76.5). Y en América Latina nos sobrepasan Ecuador, Costa Rica, Brasil, Uruguay, Colombia, Argentina y Chile. De igual manera, la empresa McAfee consideró que México es de los países más pobres en seguridad cibernética.

La realidad es que se desconoce en México qué tantos y de qué magnitud se reciben ciberataques. No hay una adecuada coordinación institucional. El regulador de las telecomunicaciones, el Instituto Federal de las Telecomunicaciones, no participa en nada que tenga que ver con ciberseguridad , es más la palabra ciberseguridad ni siquiera aparece en su portal. No hay presupuestos etiquetados para el CERT-MX y la Policía Federal, ni la Comisión Nacional de Seguridad, informan de resultados o retos.

Ante las amenazas que los ciberataques representan hoy en día para la seguridad nacional y la infraestructura económica de cualquier país, México debiera contar con políticas públicas, recursos específicos y dependencias coordinadas para hacerles frente.

Cambiando de tema… En EU estos temas los coordina el Computer Emergency Readiness Team (US-CERT), dependiente de Homeland Security. En su alerta del pasado viernes, la VU#819439, advierte a los consumidores estadounidenses que los vehículos Jeep Grand Cherokee, Dodge y RAM, 2014-2015 que pueden ser hackeados de manera remota para dañar su sistema de transmisión y dejar a los vehículos inoperantes, por lo que están ordenando la reprogramación de miles de vehículos.

¿Alguien ya habrá avisado a los altos funcionarios del gobierno mexicano que utilizan camionetas blindadas Grand Cherokee que corren este riesgo?

Twitter: @JTejado