/ lunes 2 de noviembre de 2020

Padrones de la 4T son vulnerables a hackeo

En entrega-recepción de tarjetas, inconsistencias con daños a la Hacienda Pública por 24 millones

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Local

No basta una gestión que busque fidelidad política; Lorena Alfaro García

La presidenta municipal para el periodo 2024 - 2027 y 15 miembros del Ayuntamiento tomaron protesta, también fueron reafirmados el secretario de ayuntamiento y tesorero

Local

Realizan Feria de la Salud Mental para estudiantes del ITESI en Irapuato

Es preocupante que la violencia, ya sea física o sexual, esté ocurriendo en los hogares y círculos más cercanos de los jóvenes

Local

Participan más de 6 mil jóvenes de la Diócesis de Irapuato en la marcha a Cristo Rey

Evento que este año llevó el lema "Jóvenes en familia caminando con gratitud y alegría"