El hackeo de información de la Secretaría de la Defensa Nacional (Sedena) pudo haberse evitado, pues se gastaron millones de pesos y se le avisó de fallas, pero la dependencia no hizo correcciones.
Desde febrero de este año la Auditoría Superior de la Federación (ASF) advirtió a esa dependencia que era vulnerable.
“(Existen) deficiencias en la administración y operación de 18 de los 20 controles de Ciberseguridad para la infraestructura de hardware y software de la Secretaría, revisados conforme lo establecido en el documento ‘Center for Internet Security (CIS) Control IS Audit/Assurance Program’”, se lee en la Auditoría De Cumplimiento a Tecnologías de Información y Comunicaciones, con número 2020-0-071000-20-0068-2021.
El documento de 38 páginas detalla que en el periodo de 2013 a 2019, la Sedena invirtió 2 mil 518 millones 665 mil pesos en la Dirección General de Informática y en la Dirección General de Transmisiones; se detalla que ambas áreas son responsables de información e infraestructura tecnológica.
La ASF desglosa también los pagos entregados a la empresa Decsef Sistemas, S.A, de C.V. la que fue contratada en ese año para proporcionar servicios de tecnología, el flujo de los mismos y el porcentaje destinado de esos montos a tareas específicas de seguridad.
Igualmente, se incluyen recomendaciones a la Sedena, entre las que se destaca que el proveedor debe otorgar capacitación y la dependencia tiene que realizar revisiones adicionales.
“Para que la Secretaría de la Defensa Nacional en futuras contrataciones en materia de Tecnologías de Información y Telecomunicaciones (TIC) fortalezca los controles de supervisión, seguimiento y validación por parte de los administradores de contrato y personal autorizado para la supervisión y vigilancia del instrumento jurídico, realizando revisiones independientes a las efectuadas por el proveedor sobre los servicios prestados”, se relata.
"Se concluye que existen deficiencias en los controles de ciberdefensa para la infraestructura de hardware y software de la Secretaría, relacionadas con las directrices, infraestructura y herramientas informáticas en esta materia, dichas deficiencias podrían afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la Sedena", indicó la ASF el 20 de febrero.
Después del pliego de observaciones, se lee que la causa raíz probable de la irregularidad en los contratos de TIC es “falta supervisión y control en el seguimiento de entrega de servicios por parte del proveedor”, es decir, la Sedena contrató, pagó, pero no verificó que los servicios se cumplieran.
Una vez confirmado el hackeo y reconocido por el presidente en su conferencia mañanera, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) advierte que el ataque cibernético a los sistemas informáticos de la Secretaría de la Defensa Nacional (Sedena), puede llegar a comprometer datos de carácter confidencial de personas servidoras públicas y particulares, así como información de seguridad nacional.
"Como sujeto obligado de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), ante una vulneración de seguridad, relativa al robo, copia o acceso no autorizado a datos personales, con motivo del incidente cibernético referido, la Sedena tiene la obligación de informar lo sucedido, sin dilación, tanto a los titulares de los datos, proporcionándoles los medios de contacto a través de los cuales pueden obtener mayor información, como al INAI, para efectos del inicio de la investigación previa; lo anterior, dentro de un plazo máximo de 72 horas, contado a partir de que confirmó la vulneración de seguridad y haya comenzado a tomar las acciones encaminadas para mitigar la posible afectación", se lee en un comunicado.
