Los recortes al gasto en tecnologías de la información que ha hecho el gobierno federal desde la llegada del presidente Andrés Manuel López Obrador forman parte de los ingredientes que han provocado que las afectaciones por ciberataques en contra de algunas dependencias de gobierno sean tan graves. A estos hay que añadir la falta de preparación de muchos equipos de TI, coincidieron expertos en ciberseguridad consultados por El Economista.
- En el último año, al menos seis dependencias de gobierno se han visto afectadas por ataques cibernéticos: Pemex, la Secretaría de Economía, la Secretaría del Trabajo y Previsión Social, el Consejo Nacional para Prevenir la Discriminación (Conapred), la Comisión Nacional para la Defensa de los Usuarios de Servicios Financieros (Condusef), el Banco de México (Banxico) y el Servicio de Administración Tributaria (SAT). La Secretaría de la Función Pública también estuvo involucrada en un incidente de seguridad al dejar expuesta la declaración patrimonial de 830,000 funcionarios públicos.
- En 2020, con los recortes de 75% a los Capítulos 2000 y 3000 del presupuesto federal, la administración dejará de invertir 3,500 millones de pesos o 155 millones de dólares en tecnologías de la información, sobre todo en el segmento de los servicios. Con esta reducción, la inversión en tecnología en 2020 es la menor desde 2012, el último año de gobierno de Felipe Calderón.
La consultoría especializada en tecnologías de la información y comunicaciones, Select, estimó que esta reducción supone una caída de 17% en el presupuesto que el gobierno federal destina a tecnología, una reducción que se suma al recorte de 22% que ya había realizado la administración federal en el gasto en TIC durante 2019. Ambas caídas superan a las que se dieron en 2016 y 2017, de 12 y 13% respectivamente y son las más acentuadas en los años recientes.
De acuerdo con Ricardo Zermeño, fundador y director de Select, al mismo tiempo que los funcionarios que dirigen la Estrategia Digital Nacional, la política pública de conectividad y digitalización del gobierno, y otros trabajadores gubernamentales se enorgullecen por haber logrado recortar el gasto en tecnología sin dejar de ser productivos, la industria replica que si bien se están reduciendo los montos de diversos contratos de servicios administrados que tienen con la administración federal también están quitando prestaciones a sus servicios.
“El recorte de abril a los capítulos 2000 y 3000 es de los sectores de servicios y son muy profundos. La industria habla de temas muy graves, como que han tenido que dejar de dar atención a una parte importante del parque instalado”, dijo Zermeño en entrevista.
A nivel mundial, las pérdidas económicas causadas por ciberataques se estiman en 400,000 millones de dólares, una cifra superior al Producto Interno Bruto de países como Israel, Singapur o Chile. Un país desarrollado como Alemania pierde cada año 1.6% de su PIB a causa de los ciberataques, mientras que México pierde 0.17% del PIB nacional, poco más de 2,000 millones de dólares, según información de Select.
Necesario diferenciar ataques
Para Jorge Osorio, director de Servicios de Consultoría de la firma Consultores en Seguridad de la Información (CSI), es necesario diferenciar los ataques que comprometieron la integridad y la confidencialidad de los datos del gobierno, como fue el caso de los ataques de ransomware en contra de Petróleos Mexicanos (Pemex) y de la Secretaría de Economía, y aquellos que afectaron la disponibilidad de los servicios, como es el caso del Banco de México y el Servicio de Administración Tributaria (SAT).
- En el caso de Pemex, sabemos que efectivamente tuvo que ver con el tema del presupuesto. En el caso de Condusef, Banxico y el SAT, los ataques son diferentes y no forzosamente obedecen a recortes de presupuesto sino a políticas y procedimientos internos que no tienen que ver con el presupuesto”, dijo Osorio en entrevista.
- El investigador aseguró que los ataques en contra de Banxico y del SAT ponen en evidencia que los controles de seguridad dentro de estas instituciones están correctamente implementados. “Se identifica, se contiene y no hay una afectación mayor, lo que quiere decir que los controles de seguridad están funcionando”, dijo.
No obstante, debido a las diferencias en los recortes presupuestales entre las distintas dependencias, que según Osorio van desde 20 hasta 40%, algunas de estas no cuentan con los recursos necesarios para renovar sus licencias de antivirus o para darle mantenimiento a dispositivos de seguridad como los firewalls.
Falta de capacidades
A los recortes presupuestales como causa de las afectaciones por los incidentes de ciberseguridad, también se suma la falta de habilidades de muchos de los directivos de tecnologías de la información y seguridad de la información dentro de las dependencias de gobierno.
Alain Karioty, director general de Ventas para Latinoamérica de la compañía de ciberseguridad en la nube Netskope, piensa que con el uso de tecnologías recientes como la nube, existe mucho desconocimiento por parte de las organizaciones acerca de cómo protegerlas.
“Cuando una empresa adopta un servicio en Amazon Web Services o en Azure y empieza a levantar servidores y servicios, pues pasa lo que pudo haber ocurrido esta semana a varias organizaciones en México o en el pasado en otras muy grandes, como le ha pasado a Tesla o a Accenture, que invierten mucho en ciberseguridad”, dijo.
- En esto coincide Jorge Osorio, para quien muchos de los directivos de alto nivel que atienden las áreas de tecnologías de información dentro del gobierno carecen de la experiencia suficiente en la materia y de las acreditaciones que requieren los puestos de este tipo. La razón de esta deficiencia es que hasta hace apenas dos años, antes del inicio del sexenio del presidente López Obrador, muchos de estos directivos sólo se dedicaban a administrar contratos con terceros que eran quienes realmente aseguraban la infraestructura gubernamental.
Somos presa fácil
La curva de aprendizaje de los directivos de tecnología de la administración del presidente López Obrador deberá terminar en los primeros seis meses de 2021 y será en ese momento cuando podrá verse si estos funcionarios son capaces de defender la infraestructura tecnológica de las dependencias gubernamentales de ciberataques, “que no van a disminuir”, según Osorio.
Aunque para Ricardo Zermeño, de Select, es difícil hacer una correlación directa entre la austeridad y los ciberataques que han recibido varias dependencias, al directivo le queda claro que “entre menos inviertas, más expuesto vas a estar y lógicamente los recortes a algunas organizaciones no sólo las inhabilita para tener computadores sino servicios, lo que las hace un foco de alerta”.
“Los hackers tienen foco en los países grandes como México y atractivos, en donde no hay una madurez en las prácticas de ciberseguridad. Somos presa fácil”, dijo./EL ECONOMISTA-PUNTOporPUNTO