De CFE a Lotería Nacional: La-Lista de observaciones en ciberseguridad de la ASF

En una auditoría a Tecnologías de Información y Comunicaciones (TIC), la Auditoría Superior de la Federación (ASF) advirtió a la Secretaría de la Defensa Nacional (Sedena) desde 2021 de las deficiencias que tenía en la administración y operación de 18 de los 20 controles de ciberseguridad. A finales de septiembre, más de seis terabytes de información quedaron al descubierto por el hackeo a uno de sus servidores realizado por el grupo de hackers autodenominado Guacamaya. 

La-Lista revisó las auditorías TIC realizadas en la primera y segunda entrega de informes individuales sobre la revisión de la Cuenta Pública y encontró observaciones por parte de la ASF a otras seis instituciones del país. 

Una auditoría de cumplimiento de Tecnologías de Información y Comunicaciones realizada a la Comisión Federal de Electricidad (CFE) revela que la estructura organizacional de la Gerencia de Comunicación y Control no cuenta con validez porque no está establecida en el Manual de Organización General de CFE Transmisión. 

En la dependencia dirigida por Manuel Bartlett tampoco hay indicadores que midan los beneficios de las iniciativas de TIC, de acuerdo con el dictamen emitido el 14 de octubre de 2022. 

La segunda entrega de informes individuales sobre la revisión de la Cuenta Pública 2021 señala que en el Proyecto Redes Eléctricas Inteligentes la regulación de éstas no ha sido considerada en la normativa nacional mexicana y que los retrasos que existen podrían impactar en el presupuesto. 

“Además de que no se llevaría a cabo la modernización de equipos de control supervisorio, por lo que se seguiría utilizando equipamiento que culminó su periodo de vida útil, lo cual representa un riesgo en el suministro de energía y carece de iniciativas de ciberseguridad”, dice la ASF.

Los resultados de una auditoría de cumplimiento de Tecnologías de Información y Comunicaciones realizada a la Secretaría de Salud (SSa) dan cuenta de que existen deficiencias en los controles de ciberseguridad, las cuales podrían afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la secretaría a cargo de Jorge Alcocer. 

“Tres controles se requieren fortalecer y 17 carecen de control; lo anterior, podría afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la SSa”, menciona la Cuenta Pública 2021.

El dictamen del 13 de octubre de 2022 señaló 24 millones 586 mil 380 pesos pendientes por aclarar en varios contratos. 

En uno para proporcionar el Arrendamiento de Equipo de Cómputo Personal y Periféricos celebrado con Ofi Productos de Computación, S.A. de C.V. hay un daño por 313 mil 400 pesos debido a que se identificó equipamiento que se encontraba en almacén o en su embalaje original. Se realizaron pagos por 216 mil 400 pesos. La secretaría no pudo demostrar la existencia de 17 equipos, por los que realizó pagos por 97 mil pesos.

En el contrato para prestar el Servicio Integral de Telecomunicaciones (SINTEL), celebrado con Uninet, S.A. de C.V., Consorcio Red Uno, S.A. de C.V., Triara.Com, S.A. de C.V., Scitum, S.A. de C.V., Prestaciones Profesionales Empresariales, S.A. de C.V. y Servicios Especializados Scitum, S.A. de C.V hay un daño por 4 millones 398 mil 400 pesos debido a que se encontró que el proveedor no presta este servicio desde 2019.

En un contrato para prestar el Servicio para Mantenimiento y Desarrollo de Aplicaciones Sustantivas, celebrado con el Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC) hay un daño por 19 millones 874 mil 600 pesos debido a que se carece de la evidencia que valide que todas las órdenes de servicio generadas durante 2021. 

En otro contrato, Mainbit, S.A. de C.V. no realizó la entrega e instalación de los equipos de cómputo durante el ejercicio de 2021. 

La ASF dictaminó el 13 de octubre de 2022 que Soluciones Tecnológicas Especializadas, S.A de C.V., le proporcionó a esta secretaría 3 mil 822 equipos de cómputo que durante la vigencia del contrato cumplieron una antigüedad superior a los tres años, por lo que ya habían superado su tiempo de vida útil y se encontraban obsoletos, con costo de 1 millón 727 mil 600 pesos.

Según la auditoría de cumplimiento, la misma empresa proporcionó otros 3 mil 971 equipos de cómputo que durante la vigencia del contrato cumplieron una antigüedad superior a los tres años que quedaron obsoletos, por los que la Secretaría de Bienestar pagó 6 millones 345 mil pesos.

Por otra parte, las bases de datos de vacunación no cumplen con datos exactos ni completos, con el fin de que no se altere la veracidad de la información. 

“No se definieron lineamientos y procedimientos específicos para la administración y operación de las plataformas para el registro de personas vacunadas; tampoco se definieron criterios de validación de la información contenida; no se documentó ni formalizó la arquitectura lógica y física de las plataformas”, indica la segunda entrega de informes individuales sobre la revisión de la Cuenta Pública 2021. 

La Cámara de Senadores no cuenta con evidencia de que conformó un grupo de expertos para conformar un equipo de respuesta a incidentes de seguridad para el “Proyecto de tecnologías y servicios de ciberseguridad gestionada (grupo de expertos de respuesta, prevención de incidentes de la seguridad, operación, mantenimiento y soporte a los sistemas Emas, Argos, Tritón, Hera y Carmen)”, según el dictamen del 15 de junio de 2022. 

La ASF indicó que la Secretaría de Relaciones Exteriores (SRE) requiere fortalecer los mecanismos de control y aprovechamiento en la gestión de inventarios de equipos de cómputo y dispositivos utilizados para la emisión del pasaporte mexicano electrónico. 

A la fecha de la auditoría, cuyo dictamen fue el 15 de junio de 2022, el Instituto Nacional de Migración no realizó la autenticación de los pasaportes en los puntos de control migratorio mediante medios electrónicos, tampoco proporcionó un plan de la infraestructura que permita la lectura de los pasaportes electrónicos en territorio nacional. 

“Sobre la evaluación del gobierno y gestión de las TIC, 21.4% de las prácticas tienen un bajo nivel de cumplimiento o es parcial; lo anterior podría afectar en mayor medida a la evaluación, guía y seguimiento del logro de las estrategias elegidas, así como la alineación de las actividades de apoyo para los servicios de información y la tecnología que se proporciona a las partes interesadas de la Secretaría”, dice la segunda entrega de informes individuales sobre la revisión de la Cuenta Pública 2021. 

Esta auditoría comprendió la revisión de la función de TIC en la Lotería Nacional (Lotenal) en 2021, relacionada con el ciberataque de mayo de 2021. 

“En relación con los controles para la ciberdefensa del organismo, se debe fortalecer la gestión de usuarios de cuentas privilegiadas, las actualizaciones de seguridad en los servidores, la protección de los servidores con aplicaciones de legado, el monitoreo de las transacciones, la configuración de los equipos de red, así como la seguridad en los desarrollos de sistemas y aplicativos”, sugirió la ASF.

El dictamen del 15 de junio de 2022 explica que el secuestro de datos que obtuvo las contraseñas de dos usuarios por una suplantación de identidad para ganar el acceso a la red privada virtual y atacar un servidor de aplicaciones que operaba con una versión vulnerable y sin actualizaciones de ciberseguridad.

Asimismo, refiere que 30% de los controles de seguridad críticos tienen deficiencias que ponen en riesgo a los activos de información.

Te recomendamos: Conavim presenta irregularidades en la implementación de la Alerta de Violencia de Género contra las Mujeres: ASF