¿Qué tan preparadas están las organizaciones mexicanas para enfrentar ciberataques?
Tras las filtraciones del colectivo hacktivista Guacamaya, se ha hablado mucho sobre las estrategias de ciberseguridad que el gobierno de México, así como las empresas que trabajan para instituciones públicas, deberían implementar. En esta primera entrega, hablamos sobre el estatus de la ciberseguridad y los riesgos que enfrentan las organizaciones mexicanas.
A finales de septiembre se dieron a conocer algunos datos de relevancia nacional, como parte de una exfiltración de información de los servidores de la Secretaría de la Defensa Nacional (SEDENA), realizada por el colectivo hacktivista Guacamaya. Esto sucedió en México, pero en las mismas fechas, el colectivo también reveló filtraciones a los sistemas de defensa de Chile y al ejército peruano.
En México, lo que se ha llamado como “Guacamaya Leaks” es un compendio de 6 TB de información de carácter sensible, principalmente recopilada de correos electrónicos y otras comunicaciones digitales, como conversaciones de WhatsApp. La cantidad de información filtrada pone en tela de juicio, según algunos expertos, que se haya tratado de un ataque cibernético, pues extraer tantos documentos debería haber levantado alertas en los sistemas de monitoreo de la SEDENA (asumiendo que contaban con dichos sistemas). Eso dio pie a creer que la información pudo ser extraída por alguien interno en un disco duro, el cual posiblemente fue alimentado de a poco con los archivos, para evitar alarmas en el sistema (nuevamente, considerando que la Secretaría debería de contar con tecnologías para detectar la fuga de información).
De acuerdo con el servicio de almacenamiento en la nube Dropbox, 1 TB permite almacenar aproximadamente:
- 250,000 fotos tomadas con una cámara de 12 MP;
- 250 películas o 500 horas de video en HD; o
- 6,5 millones de páginas de documentos, normalmente almacenadas como archivos de Office, PDF y presentaciones.
Si multiplicamos estas cifras, tenemos que 6 TB corresponden a un millón y medio de archivos fotográficos de alta calidad (podrían ser muchos más a menor resolución), 1500 películas o 3000 horas de video en alta definición, o hasta 39 millones de páginas de documentos. Estamos hablando de una filtración enorme.
Considerando todo lo que implica una extracción de archivos de esta magnitud, hasta hace un par de días, se especulaba sobre el origen de estas filtraciones. Pero el 10 de octubre se dio a conocer una entrevista exclusiva, por correo electrónico, con el portal La Lista, publicación del internacionalmente reconocido The Guardian. En la entrevista, las hacktivistas de Guacamaya explican cómo aprovecharon una vulnerabilidad por falta de actualización en el servidor Zimbra, al cual accedieron en agosto, y desde el cual extrajeron información durante dos meses. El colectivo se negó a decir si tuvieron apoyo de un infiltrado interno, pero no negaron la posibilidad al decir que “una guacamaya puede estar en cualquier rincón”.
Cabe destacar que, de no ser por la actividad de otros grupos de hackers que obligaron a la SEDENA a apagar sus servidores, Guacamaya podría haber extraído más información: “Al final, SEDENA apagó sus servidores de correo cuando solo habíamos descargado como la mitad. Pero no por darse cuenta de la descarga, la vulnerabilidad de Zimbra fue explotada en masa por muchos hackers, grupos de ransomware, etc. Vimos que otros hackers estaban activos y haciendo mucho ruido en los días en que SEDENA empezó a reaccionar.”
A raíz de la información que el colectivo ha compartido con medios y columnistas, se han dado a conocer secretos del Ejército Mexicano y del Ejecutivo Federal, que han desatado una serie de escándalos. Nuevamente, considerando la cantidad de documentos extraídos y el trabajo que implica analizarlos, se espera que haya muchos más secretos por revelar.
Sin embargo, en lo que concierne a Computer Weekly en Español, nos centraremos en la primera declaración del Presidente López Obrador, cuando en la conferencia del viernes 30 de septiembre dijo que desconocía si en México existen profesionales de ciberseguridad. Esta desafortunada declaración generó descontento entre la industria de proveedores y usuarios de tecnologías de ciberseguridad, industria que ha estado presente en el país desde hace décadas y que cuenta con reconocidos profesionistas y expertos no solo a nivel nacional, sino también internacional.
Más aún, en esta declaración, el Presidente desconoce a los ciberexpertos que existen dentro de las mismas instituciones de gobierno, así como en el Ejército y la Armada. Sin ir más lejos, apenas tres días después del comentario presidencial, se llevó a cabo el evento anual de concientización sobre ciberseguridad organizado desde hace ocho años por la misma SEDENA: la 8ª Semana Nacional de Ciberseguridad.
Organizado en conjunto por la SEDENA y la Guardia Nacional este año, del 3 al 7 de octubre, especialistas en la materia abordaron temas relacionados con la Seguridad ciudadana en el ciberespacio; Protección de infraestructuras críticas; Economía digital para micro, pequeñas y medianas empresas (MiPyMes); Legislación en ciberdelitos, y Ciberseguridad para niñas, niños y adolescentes.
No se trata, entonces, de falta de expertos en el país, sino de un profundo –y preocupante– desconocimiento del tema de ciberseguridad al más alto nivel gubernamental.
“Entramos, irónicamente, a un nuevo Cybersecurity Awareness Month como sucede cada año desde su creación en el 2004 en los Estados Unidos, y donde México aprovecha para hacer eco del tema, tratando de aprovechar la coyuntura del vecino, con la Semana Nacional de la Ciberseguridad. Pero, vemos un profundo contraste al leer la reciente declaración del presidente Biden y su sensibilidad ligada a acciones concretas para salvaguardar la seguridad y privacidad de las entidades federales, organizaciones y ciudadanos; mientras que, en nuestro país, el gobierno federal en turno minimiza el tema, lo trata con indiferencia, desconocimiento, deja de inyectar recursos bajo el pretexto de una austeridad para las dependencias gubernamentales y en múltiples ocasiones han intentado ocultar debajo del tapete los incidentes, cuando hoy más que nunca se necesita colaboración, compartir la información y entender la criticidad de lo que significa la ciberseguridad", comentó Juan Carlos Vázquez, director regional para México y Centroamérica de Attivo Networks, una empresa de SentinelOne. "No existe directriz, intención ni asesoramiento en los discursos oficiales a pesar de la evidencia e impacto de múltiples incidentes reportados en todos los sectores del país y de manera visible en la actualidad y termómetro global de ciberamenazas”, agregó.
La inevitable pregunta que sigue es: ¿qué tanto conoce el resto de la población el trabajo de los profesionales de la industria de ciberseguridad en México?
Para ayudar a visibilizar los logros y avances de los profesionistas de esta industria, en Computer Weekly en Español nos pusimos en contacto con varios de ellos. Las respuestas fueron variadas y abundantes, por lo que publicaremos varios artículos, profundizando sobre el estatus de la ciberseguridad en México, el nivel de preparación de las organizaciones mexicanas ante amenazas, los mecanismos de respuesta disponibles, los avances en el marco legal referentes a ciberataques y ciberdelincuencia, y, lo más importante, las capacidades de los profesionales de ciberseguridad en México, así como la demanda de profesionistas especializados en el ramo.
Estatus de la ciberseguridad en México
De acuerdo con el ESET Security Report, México se ubicó en el segundo lugar en Latinoamérica como el país con la mayor cantidad de detecciones de malware (17% de las mismas), solo detrás de Perú (18%) durante 2021. “En este contexto, las amenazas informáticas ya no solo atañen a los usuarios o empresas, sino incluso a los Estados-naciones, que se han convertido en un objetivo de actores maliciosos en los últimos años, afectadas por amenazas que van desde campañas de malware (particularmente ransomware) hasta prácticas de ciberespionaje”, dijo Miguel Angel Mendoza, Security Researcher de ESET para América Latina.
Según Fortinet, México es el país de América Latina que más ataques recibió entre enero y junio de este año. “Nos encontramos ante un panorama sumamente creciente respecto a ciberataques. De acuerdo con los datos obtenidos desde FortiGuard Labs, nuestro servicio de inteligencia contra amenazas, tan solo en la primera mitad del 2022 se presentaron en México 85 mil millones de intentos de ciberataques, un aumento del 40% en comparación con el mismo período del año pasado”, comentó Arturo Torres, estratega de ciberseguridad de FortiGuard Labs para América Latina y el Caribe.
Desde Qualys, agregan: “En México y otros países, vemos que las empresas se conectan cada vez más la Web y pocos identifican las amenazas que esto representa. El 80% de las compañías en México no tienen claridad de todos los activos conectados a una IP, y esto es una amenaza y riesgo. La mayoría de los clientes en Latinoamérica se preocupan más por invertir en soluciones que protegen, en lugar de buscar soluciones que diagnostiquen y de forma preventiva muestren el estado de ciberseguridad, y [muchas empresas siguen] basando todo en un antivirus y un firewall de nueva generación (NGFW). Lo preocupante es que muchas veces los directores se expresan con el comentario ‘nunca nos ha pasado’ pero la realidad es que no se han dado cuenta de que probablemente alguien está vulnerando activamente su infraestructura y les está robando la información”, dijo Enrique Navarrete Arrieta, Country Manager de Qualys para México y Centroamérica.
Esta percepción sobre la acelerada transición al mundo digital versus la implementación de soluciones tecnológicas de seguridad, es compartida por Luis Fornelli, Country Manager para México, Centroamérica y Caribe de Netskope. Sin embargo, paso a pasito, ha habido avances notorios: “La evolución de la ciberseguridad en México, si bien va más lenta comparada con países como Estados Unidos, ha estado en continuo desarrollo y avance en los últimos años. Empresas de primer nivel en este rubro se han instalado en nuestro país, evolucionando y en constante crecimiento. Se han establecido centros de desarrollo e investigación debido a las capacidades de los profesionales locales, así como la economía de escala a la que acceden, comparando los costos mexicanos frente a otros países que cuentan también con profesionales preparados y capacitados al nivel de los profesionistas mexicanos de ciberseguridad”, comentó Fornelli.
Finalmente, en lo que corresponde a los usuarios finales, desde LexisNexis Risk Solutions agregan información sobre los riesgos de seguridad relacionados con el aumento de usuarios de tecnología en el país: “Cuando miramos la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares ENDUTIH 2021, es evidente que en México cada vez hay más usuarios de internet que realizan más operaciones comerciales en línea intercambiando información adicional. Además, con la fuerte inclusión digital post COVID-19, es de esperar que todos los servicios en línea continúen acelerándose en México. Mientras que antes de la pandemia solo el 27% realizaba algún tipo de transacción en línea, a fines de 2021 el 35% de los ciudadanos ya se manejaban en línea. Con el fuerte aumento de usuarios digitales, es posible esperar un crecimiento de fraudes y otros crímenes digitales”, advirtió Rafael Acosta Abreu, director de Fraude e Identidad para América Latina de LexisNexis Risk Solutions.
¿Estamos preparados para enfrentar ciberataques?
Ante la creciente escalada de amenazas, no está de más preguntarse si las organizaciones mexicanas, públicas y privadas, saldrían bien libradas ante un ataque cibernético o extracción de datos. El panorama no es alentador, sobre todo en lo que se refiere al ransomware. Esto es lo que opinan algunos expertos:
“A medida que las TI han evolucionado, también lo han hecho las amenazas. Los ataques de los ciberdelincuentes se han vuelto cada vez más selectivos, generalizados y dañinos. Además, la ciberdelincuencia ha evolucionado hasta convertirse en un negocio en toda regla. El ransomware como servicio (RaaS) se puede comprar en la dark web, y México es un objetivo atractivo para los ataques. Por tanto, es esencial adoptar un enfoque proactivo a varios niveles para la gestión y protección de los datos”, comentó Bruno Lobo, director general de Commvault para América Latina.
Arturo Torres, de FortiGuard Labs, añadió: “Hemos visto que los cibercriminales operan de maneras cada vez más organizadas, ya que encuentran un negocio sumamente rentable en esquemas como el ransomware, por ejemplo. Ante estos datos, es ahora, más importante que nunca, que las empresas cuenten con soluciones tecnológicas amplias, integradas y automatizadas; que cubran cada parte del espectro de las redes, al tiempo que ayudan a los equipos de TI a monitorear, detectar y aislar en tiempo casi real cualquier posible amenaza, sin que esto afecte las operaciones diarias de las diferentes industrias".
Por su parte, Antonio Ramírez, director de Clarioty en México, considera que la ciberseguridad en el país se ha mantenido en un nivel de relevancia y actuación constante por parte de las organizaciones, las cuales cuentan, en su mayoría, con modelos de seguridad de la información para impulsar la transformación digital. “Los modelos de transformación digital requieren de conectar también los entornos productivos, que en muchos casos habían permanecido aislados y sin una estrategia de ciberseguridad; ahora es crucial que las organizaciones consideren la seguridad en sus modelos de automatización, industria 4.0 o los modelos de mejora continua, para cubrir las necesidades de eficiencia operacional junto con una ciberseguridad sólida y alineada al negocio. En la medida que las organizaciones adecuen su postura de seguridad con mayor visibilidad y contexto de todo el entorno, menor será la propensión a riesgos por amenazas y ataques”, opinó Ramírez.
Y profundizando sobre la postura de seguridad de la información al interior de las organizaciones, así como la necesidad de transmitir a los empleados, clientes, usuarios y/o consumidores el compromiso de participar en la estrategia de protección de datos, Ernesto Márquez, especialista de Producto en Appdome Latam -empresa especializa en seguridad de aplicaciones-, comentó que entre los retos que aún enfrentamos, se incluye la concienciación sobre la relevancia y el valor que la información representa y, por consiguiente, la necesidad de salvaguardar la confidencialidad e integridad de dicha información.
Debo confesar que, como periodista especializada en tecnologías de información y comunicaciones (TIC) y seguridad de la información desde hace casi 20 años, no deja de sorprenderme que uno de los grandes factores de vulnerabilidad en las empresas siga siendo el factor humano, más aún cuando, a pesar de ello, las campañas de awareness o concientización de seguridad, suelen pasarse por alto.
Sin embargo, tal vez no debería sorprenderme tanto, considerando que en Estados Unidos, las empresas apenas están reconociendo la importancia de la ciberseguridad a nivel de la mesa directiva. Si México suele estar unos pasos detrás, entonces ¿aún no llegamos a ese nivel de conciencia sobre el impacto de los ciberataques y la necesidad de una estrategia continua e integral de seguridad de la información?
¿Entonces, los fallos de ciberseguridad en México, se deben a la falta de especialistas, como dice el Presidente? ¿O hay una falta de visibilidad de la tarea de seguridad de la información? ¿Falta de comprensión sobre los mecanismos de control y protección para salvaguardar los datos personales y corporativos? ¿Desconocimiento de las soluciones tecnológicas que pueden minimizar los riesgos? ¿O, tal vez, una mezcla de todo lo anterior?
En las siguientes entregas, hablaremos sobre los mecanismos de respuesta disponibles ante ciberataques, los avances legales, las capacidades de los profesionales de ciberseguridad en México, así como la demanda de profesionistas especializados en el ramo.