SOBRE EL AUTOR
EMEEQUIS.– A finales de agosto de este año, una noticia comenzó a circular en los portales de noticias de tecnología y negocios: la empresa LastPass fue hackeada. Dicha compañía, que funge como una de las bóvedas más grandes de usuarios y contraseñas para empresas de correo electrónico, plataformas de video, buscadores, entre otras, había sido vulnerada en su código fuente.
Sin embargo, en un comunicado oficial anunció que no tenían pruebas que esto implicara el acceso a datos de clientes.
Alerta roja en LastPass. Pero no hicieron nada.
Inmediatamente, el Centro de Respuesta a Incidentes Cibernéticos de la Guardia Nacional alertó mediante un documento, que fue replicado mediante diversos correos de la Sección de Respuesta a Incidentes del Centro de Operaciones del Ciberespacio de la Sedena, por la posible vulneración a los usuarios de esta empresa. En una parte el diagnóstico de la Sedena infiere que si bien LastPass duda de una afectación a usuarios, esto se debe a “su modelo de conocimiento nulo” que da privacidad a los clientes para que solo ellos sean quienes gestionen sus contraseñas.
¿Solución? No hacer nada.
Sobre el comunicado, el Centro de Respuesta a Incidentes Cibernéticos señala que tras el hackeo hubo “medidas de contención y mitigación” puesto que en respuesta se contrató a una importante agencia de ciberseguridad e informática forense.
Sin embargo, pese a esto el propio centro minimizó la posible vulnerabilidad y se ciñó a la propia recomendación de LastPass: no hacer nada. “Se indica que sigan sus prácticas sobre instalación y configuración de LastPass”, se lee en el documento.
En la revisión de correos de la Sedena filtrados por el colectivo Guacamaya a los que tuvo acceso EMEEQUIS puede observarse que no hubo ninguna respuesta a esta advertencia y fue reenviado con el asunto “alerta de ciberseguridad” el 30 de agosto, una de las últimas fechas que aparecen dentro de los 6 terabytes de correos hackeados.
SE SUMAN SEÑALES DE ALERTA
Las alertas de ciberseguridad no eran constantes dentro de los correos de la Sedena, al que habitualmente llega un Dossier de ciberseguridad con consejos para evitar ser víctimas de suplantación de identidad y otro tipo de delitos, por lo que esto se suma a lo que en estos días EMEEQUIS recabó.
Este medio revisó la auditoría de cumplimiento con clave 2020-0.07100-20-0068-2021 que mostró las omisiones que, según la Auditoría Superior de la Federación, podrían impactar en la vulnerabilidad y operación de la Secretaría, tales como deficiencias en ciberdefensa para la infraestructura de hardware y software, falta de guías y herramientas para la gestión de actualizaciones de seguridad.
En dicha auditoría, se encontró que las empresas contratadas para este rubro fueron “Decsef sistemas”, “Computadoras, accesorios y sistemas”, “Debug experts” y “M&F Rservices”, las cuales son nuevas proveedoras de este gobierno, pues en la Plataforma Nacional de Transparencia no se hallaron contratos con estas empresas previos a 2019.
El aviso expreso por parte de la ASF indicando graves deficiencias en los controles de ciberdefensa para la infraestructura de hardware y software de la Secretaría fue previo al correo de agosto, puesto que la auditoría se realizó durante 2020 y 2021.
Asimismo, se revisaron registros federales los cuales evidenciaron el bajo presupuesto para la prevención, capacitación y recursos para estar preparados en caso de un ciberataque.
Según los contratos revisados por este medio, la Guardia Nacional ha recibido únicamente dos cursos de capacitación referentes a riesgos de ciberseguridad y ciberdefensa para los que se presupuestó menos de 500 mil pesos.
Por otra parte, la Sedena sólo hizo una contratación pública por el pago de licencias de detección y bloqueo de ciberamenazas para inhibir estos ataques.
OTRAS INSTITUCIONES EN RIESGO
Un nuevo hallazgo fue que la plataforma que sirvió a los hackers, Zimbra, sigue siendo usada por más dependencias federales y estatales que van desde la Secretaría de Marina hasta el gobierno de la Ciudad de México.
Según lo informado por Guacamaya desde el sitio enlacehackactivista.org sobre cómo se extrajeron los 6 terabytes, fueron explotados los servidores de Zimbra.
@FridaMendoza_
Powered by Froala Editor
