Crónica de una confianza criptominada

En los últimos 10 días hemos atestiguado una historia de terror, protagonizada por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai).

Todo comenzó el 11 de septiembre cuando se ejecutó la migración de los sistemas Infomex al nuevo Sistema de Solicitudes de Acceso a la Información (SISAI 2.0) con el objetivo de centralizar todas las peticiones ciudadanas de información pública y las de ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición de los datos personales), a nivel federal y local en la Plataforma Nacional de Transparencia (PNT), gestionada por el Inai.

Para el 13 de septiembre, cuando el SISAI 2.0 inició operaciones, se habían migrado 6.5 millones de solicitudes contenidas en los 33 sistemas Infomex (uno federal y 32 locales) y 46,117 solicitudes que estaban en trámite. Al mismo tiempo emergieron las quejas sobre la PNT: solicitudes de información desaparecidas, intermitencias para acceder a la plataforma, mensajes de error, lentitud en el acceso y procesamiento de las solicitudes, entre otras. La centralización recibió más abucheos que aplausos, al menos en las redes sociales.

La cosa se puso peor. El lunes 20 de septiembre, el Inai informó que desde ese mediodía, la PNT había tenido “un comportamiento intermitente, debido a un ataque o hackeo de tipo de explotación de criptomonedas”. Por la noche señaló que ya se había estabilizado y restablecido su funcionalidad.

Al día siguiente, el comisionado del Inai, Óscar Guerra Ford, explicó públicamente que la PNT sufrió un ataque de Denegación de Servicio (DoS) proveniente del extranjero, provocando dos intermitencias: la primera, de las 12:30 a las 15:28 horas del lunes, y la segunda, de las 10:00 a las 12:30 horas del martes. Este tipo de ataques utiliza redes de computadoras o dispositivos conectados a Internet que lanzan millones de peticiones a un sitio –en este caso la PNT– para volverlo inaccesible. 

Guerra Ford reveló que en las revisiones de seguridad derivadas del ataque DoS se detectó “un archivo extraño, el cual fue identificado como malware similar a los utilizados para la minería de criptomonedas y fue erradicado de inmediato”. A este ataque se le conoce como cryptojacking. Se abre una interrogante: de no haber sido por el ataque DoS, ¿no se habría descubierto ese “archivo extraño”? 

La firma de ciberseguridad Kaspersky Lab define el cryptojacking como un delito informático que consiste en minar criptomonedas utilizando computadoras, smartphones, tablets o incluso servidores de personas que no han autorizado tal uso. Para hacerlo, los atacantes instalan un código o script (crypto miner) que, al ejecutarlo, usa los recursos del dispositivo para realizar la minería.

Existen varias formas de infectar un dispositivo con un crypto miner: al acceder a un vínculo malicioso, o infectando un anuncio o sitio web con un código que se ejecuta al cargarlo en el navegador. También puede ser a través de una persona con acceso a la configuración del sitio y los servidores.

El experto en ciberseguridad Hiram Camarillo, de la firma de investigación Seekurity, apuntó que la inyección del crypto miner pudo ser por la falta de actualización de un software de gestión de contenidos utilizado por el Inai en la PNT.

Pero si como dice Camarillo, el problema fue por usar sistemas desactualizados, entonces estamos ante errores, descuidos o negligencias humanas que están haciendo vulnerable al sistema de transparencia. Y no sería la primera vez.

El año pasado detecté que mis datos personales contenidos en una solicitud de transparencia que hice a la Secretaría de Comunicaciones y Transportes (SCT) fueron expuestos en los motores de búsqueda en línea. El Inai lo investigó y determinó que la SCT hizo una gestión deficiente del sistema SISITUR (utilizado para administrar internamente las solicitudes de información recibidas a través de Infomex). De nuevo, un error humano.

En el ciberataque contra la PNT de esta semana, Guerra Ford dijo que no hubo afectación de datos personales. Además anunció que entre las medidas para contener los ataques DoS, incluyendo el bloqueo de IP sospechosas (lo cual es una limitante para ingresos a través de sistemas como Tor, que enmascaran la ubicación de las conexiones para proteger la privacidad) y el fortalecimiento de la seguridad perimetral. 

Aún así, el Inai deberá investigar a fondo, junto con autoridades y personas expertas, las vulnerabilidades de sus sistemas, así como a sus proveedores y a las personas involucradas en la migración al SISAI 2.0 para descartar que el enemigo está en casa.

Y es que al centralizar un sistema fundamental para el ejercicio de derechos como el de la libre expresión y de información, y que maneja datos e información cuya divulgación puede poner en riesgo a las personas, lo menos que se debe garantizar es su integridad y seguridad. Cueste lo que cueste.

Lo cierto es que esta serie de eventos desafortunados es un golpe a la confianza ciudadana en los sistemas de transparencia, y debe ser una señal de alerta: en esta ocasión no hubo afectaciones a los datos, pero la próxima vez no podrían correr con la misma suerte.