La Auditoría Superior de la Federación había advertido vulnerabilidades de seguridad digital a la SEDENA: desde falta de actualizaciones hasta fallas en los sistemas de información.

La filtración de información de la Secretaría de la Defensa Nacional (SEDENA) evidenció la vulnerabilidad de la ciberseguridad nacional. Un grupo de hackers denominado “Guacamaya” presuntamente habría accedido a información confidencial de la SEDENA, a través de decenas de miles de correos electrónicos. 

Parte de la información filtrada (como los problemas de salud del mandatario federal) fue confirmada por el presidente Andrés Manuel López Obrador en conferencia de prensa. El mandatario aseguró que lo dado a conocer es de dominio público, y que “el que nada debe, nada teme”. 

Pero, ¿esto se pudo haber evitado? La Auditoría Superior de la Federación (ASF) ya había advertido a la SEDENA sobre las deficiencias de su sistema de seguridad, y había reportado anomalías en los servicios que contratados. Esto por medio de la Auditoría de Cumplimiento a Tecnologías de Información y Comunicaciones 2020-0-07100-20-0068-2021. 

Los contratos de Tecnologías de la Información de SEDENA

La ASF auditó cinco contratos relacionados con las Tecnologías de Información y

Comunicaciones (TIC)  celebrados por la SEDENA durante 2020 que ascienden a 80 millones 700 mil 700 pesos.Estos contratos contemplan los siguientes servicios:

• Servicios de mantenimiento para centro de datos. 
• Servicios de arrendamiento de comunicación satelital móvil
• Servicios de soporte técnico y mantenimiento para los equipos de seguridad lógica. 

Sólo los servicios de mantenimiento para centro de datos y los de soporte y mantenimiento para equipos de seguridad lógica se relacionaban con la protección de la información de la SEDENA. 

La ASF destaca en esta auditoría que entre 2013 y 2019 no hubo fiscalización en el área de tecnologías de la información de la SEDENA. Es decir, que en ese periodo no se examinaron sus actividades para comprobar si cumplía las normas. 

El presupuesto ejercido por la SEDENA en contratos relacionados con TIC en 2020 (80 millones 700 mil 700 pesos) representó el 0.5 por ciento del presupuesto total de la SEDENA en ese año, que fue de 15 mil 865.2 millones de pesos. 

¿Había fallas en el servicio antes de la filtración de documentos de SEDENA? Sí, y la ASF lo advirtió

En 2020 la SEDENA adjudicó cuatro contratos por tres millones 386 mil 900 pesos a tres empresas para servicios relacionados con soporte técnico relacionado con seguridad de los equipos y seguridad web. 

La ASF advirtió sobre una serie de anomalías en estos servicios. 

El primero es un contrato por 608 mil 200 pesos adjudicado a la empresa Computadoras, Accesorios y Sistemas por licitación pública para el servicio de soporte técnico para equipos de detección y prevención de intrusos de la SEDENA. 

Sobre este servicio, la ASF hizo las siguientes observaciones:

1. El sistema no se actualizó No se proporcionó evidencia que acredite que la secretaría realizó la descarga de las actualizaciones desde el portal del fabricante. 
2. Cinco de cada seis usuarios de SEDENA no tenían acceso a la herramienta, ni al detalle de las actividades realizadas por cada uno de ellos en el portal. 
3. El fabricante no tiene disponible un Manual Operativo o Manual de Usuario para la utilización de la herramienta.
4. El plan de trabajo del proveedor no tiene firmas de aceptación por parte de la SEDENA. 
5. No se realizó el servicio de “actualización de parches y del sistema operativo“.

Respecto al contrato de un millón 51 mil 100 pesos adjudicado a la empresa Debug Experts por licitación pública para proveer los “Servicios de Soporte Técnico para Equipos de Seguridad,Firewalls y Soporte Técnico para Equipos Balanceadores de Enlace“, ocurrió lo siguiente:

1. No se implementaron mecanismos de seguridad para evitar acceso no autorizado al portal del fabricante. 
2. No hay datos que comprueben que la SEDENA haya descargado actualizaciones del sistema, ni que estas se hayan solicitado al fabricante. 
3. Los contratantes (la SEDENA) solicitaron una capacitación, pero no hay evidencia de que el proveedor proporcionó un temario, material didáctico, ni una lista de asistencia del personal capacitado. 

En el “Soporte Técnico para equipos de filtrado de contenido y seguridad web”, contrato de un millón 727 mil 600 pesos adjudicado al proveedor M&F Rservices por medio de una licitación pública, la ASF indicó lo siguiente: 

1. Se identificaron fallas, pero no fueron descritas ni se indicó una fecha para remediarlas. 
2. No cuenta con un manual de usuario donde se describan las actividades a realizar por la SEDENA con las herramientas. 
3. Carece de mecanismos de seguridad para disminuir el impacto derivado de alguna interrupción de un servicio de Tecnologías de Información y Comunicaciones (TIC). 

Otro contrato por 18 millones 745 mil 300 pesos con la empresa Decsef Sistemas, que fue adjudicado por medio de una invitación a cuando menos tres personas, para proveer el “Servicio de Mantenimiento para Centro de Datos”, tenía la obligación de proporcionar mantenimientos preventivos y correctivos para todos los módulos y equipos que integran los sistemas de soporte del Centro de Datos de la Secretaría.

En este servicio se encontraron los siguientes fallos: 

1. No se validó que el proveedor instaló la última versión del software al sistema de monitoreo de red. 
2. No cuenta con un procedimiento formal para la sustitución o reemplazo de equipos completos que presenten fallas. 
3. No cuenta con un procedimiento formal para el ingreso de personal de la SEDENA, proveedores o terceros
4. Las puertas del sitio no cuentan con alarmas en caso de un ingreso no autorizado.
5. No hay evidencia del proceso para la detección de software y hardware no autorizado en el centro de datos. 

La ciberseguridad en la SEDENA carece de control: ASF

La ASF estableció 20 controles de ciberdefensa para evaluar la ciberseguridad para la infraestructura del hardware y software de la SEDENA, utilizando como referencia el documento “Center for Internet Security (CIS) Controls IS Audit/Assurance Program” del Centro para la Seguridad en Internet (CIS por sus siglas en inglés). 

Como resultado, encontró que 14 de los 20 indicadores (70 por ciento) carecían de control, cuatro requerían fortalecer el control y dos cumplían de manera aceptable con los estándares de control. 

A continuación se presenta el análisis de cada indicador: 

Las principales deficiencias señaladas por la ASF en estos indicadores son las siguientes: 

• Deficiencias en el filtrado de URL y de bloqueo de correos electrónicos. 
• No se tienen habilitados los registros de las consultas al sistema de nombre de dominio (DNS), con el propósito de detectar dominios maliciosos conocidos.
• No cuenta con mecanismos de análisis, restricción y bloqueo de medios extraíbles (como USB) que se ejecuten de forma automática, cuando estos se conectan a los equipos de cómputo o servidores.
• Deficiencias en los mecanismos implementados para limitar y cifrar la comunicación entre dispositivos de diferentes segmentos de la red.