/ lunes 2 de noviembre de 2020

Padrones de la 4T son vulnerables a hackeo

En entrega-recepción de tarjetas, inconsistencias con daños a la Hacienda Pública por 24 millones

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Finanzas

Pemex ya cuenta con 20 mmdp para liquidar compra de Deer Park

Dicha adquisición estaba pensada para cerrarse en diciembre de 2021, pero hubo retrasos que impidieron su compra el año pasado

Finanzas

Con total adversidad, el Tren Maya avanza: Rogelio Jiménez Pons

El nuevo titular de Fonatur tendrá un excelente desempeño social al lidiar con amparos, dice el subsecretario

Finanzas

Aeroméxico deja varados a más de 2 mil pasajeros en aeropuerto de Cancún

La aerolínea vive una pesadilla a causa de la pandemia, con una serie de cancelaciones, lo que ha afectado la movilidad de miles de pasajeros

Mundo

Mueren siete personas en protestas contra golpe de Estado en Sudán

La cifra total de fallecidos aumentó a 71, de acuerdo con el Comité de Médicos de Sudán

Política

Gobierno responderá a Brian LeBarón por foto de Cuauhtémoc Blanco con narcos

El presidente López Obrador también aseguró que en su administración no hay nada que ocultar y no se protege a nadie

Finanzas

Erario dejará de recibir 3 mil mdp por eliminación de IVA a productos de higiene femeninos

La eliminación del IVA tiene el objetivo de beneficiar a las consumidoras mexicanas, al ser un producto básico en su higiene y salud

Sociedad

Evelyn Salgado promete reparar viviendas afectadas por sismo de 7 de septiembre

Vecinos están a la espera de respuestas a tres meses de la promesa del presidente López Obrador

Sociedad

Grupos criminales se disputan zona oriente de Morelos

Autoridades aseguran que algunos municipios eran operados por el Comando Tlahuica bajo el liderazgo de El Ray

Política

Miguel Barbosa, gobernador de Puebla, da positivo a Covid-19

El mandatario indicó que se encuentra sin malestares mayores y ya recibe tratamiento médico en su domicilio