Con el análisis del Proyecto de Integración Tecnológica Aduanera (PITA), administrado por el SAT, la Auditoría Superior de la Federación ha presentado los resultados de seis auditorías de Tecnologías de la Información y Comunicaciones a igual número de dependencias del gobierno federal en su revisión de la Cuenta Pública 2019, el primer año de gobierno del presidente Andrés Manuel López Obrador.
Las dos primeras auditorías en materia TIC realizadas por la ASF al analizar la Cuenta Pública 2019 corresponden a dos entidades que ya han sufrido incidentes de ciberseguridad, como ataques de ransomware o difusión de información sensible: la petrolera estatal Pemex y el Instituto de Salud y Seguridad Social de los Trabajadores del Estado (ISSSTE). A estas se suman la Secretaría del Bienestar, el Inegi, la Secretaría de Hacienda y el Servicio de Administración Tributaria (SAT).
Todos los procedimientos realizados por la auditoría en materia TIC encontraron deficiencias en la infraestructura tecnológica de las dependencias del gobierno federal durante 2019, un año en que la inversión en tecnología de la administración de AMLO cayó 21%, para alcanzar 20,999 millones de pesos.
Éstas son las seis dependencias con deficiencias en materia de Tecnologías de la Información y Comunicaciones según los informes individuales y el Informe General Ejecutivo de la Cuenta Pública 2019 realizados por la Auditoría Superior de la Federación:
1.- SAT
El Proyecto de Integración Tecnológica Aduanera (PITA), con el que el Servicio de Administración Tributaria busca automatizar y agilizar la entrada y salida de mercancías del país a través de las aduanas, muestra deficiencias que van de la falta de controles con los que se verifique y se valide que los servicios mensuales del proveedor fueron facturados y se pagaron de acuerdo a lo entregado por el proveedor al retraso en la automatización de los procesos. Esta ausencia de controles ha derivado en observaciones por 283.4 millones de pesos a causa de pagos en exceso, penas convencionales y deducciones no realizadas, según la auditoría.
La auditoría también le reclama al SAT que haya contratado los servicios de nube de un tercero para llevar a cabo la gestión en materia de incidentes de seguridad, identidad y acceso, vulnerabilidades y amenazas y continuidad en el negocio sin participar ni supervisar estos servicios, lo que, de acuerdo con la auditoría, “representa un riesgo a los activos de información bajo la responsabilidad de la entidad”.
La ASF encontró también que el sistema “Modelo de Administración Tributaria-Cobranza (MAT-Cobranza)”, pese a estar catalogado como sistema crítico, porque es a través del cual se realizan las operaciones de cobranza en las administraciones locales de recaudación, carece de “políticas y procedimientos de monitoreo, supervisión y auditoría periódicos” con los que se pueda atender incidentes que puedan afectar la seguridad de la información.
2.- SHCP
La Secretaría de Hacienda y Crédito Público realizó inversiones por 2,896.9 millones de pesos en TIC entre el 2015 y el 2019 y además gastó 986.6 millones de pesos en contrataciones vinculadas al servicio de seguridad de la información y servicios de hospedaje de infraestructura de alta disponibilidad, entre otras. Sin embargo, la ASF encontró que las investigaciones del mercado para hacer estas contrataciones no se realizaron con la suficiente anticipación para que la secretaría pudiera conocer las condiciones que imperaban en el mercado. Esto se pudo haber dado, según la auditoría, debido a que no se encontró justificación para otorgar contratos por medio de Adjudicación Directa, pese a que las investigaciones de mercado “sugieren procedimientos de Licitación Pública”.
La ASF estimó en 0.9 millones de pesos los pagos injustificados hechos por la SHCP al proveedor del servicio integral de seguridad de la información, el servicio administrado de seguridad a través de un centro de operaciones de seguridad y el servicio integral de
cómputo de escritorio. La auditoría también identificó deficiencias en la gestión y operación de los controles de ciberseguridad tanto para el hardware como para el software que usa la secretaría y encontró que ésta tampoco cuenta con Análisis de Impacto al Negocio (BIA), que le permita a su vez desarrollar un Plan de Continuidad del Negocio y un Plan de Recuperación en Caso de Desastres.
3.- Inegi
El Inegi está entre las dependencias de la administración federal con menos reclamaciones por parte de la ASF, al menos en materia TIC. Esto pese a que, durante el 2019, el instituto se estaba preparando para la realización del Censo de Población y Vivienda 2020 y la auditoría observó “contrataciones en materia de TIC relacionadas con la compra de 185,824 Dispositivos de Cómputo Móvil para el Censo de Población y Vivienda 2020, así como para la compra de los bienes consistentes en 13,825 computadoras laptop, por un monto total de 489.4 millones de pesos”.
No obstante, la auditoría encontró deficiencias en la administración y operación de los controles de ciberseguridad para el hardware y el software que utiliza el instituto. También, la ASF advirtió que dado que el Inegi se encuentra en proceso de implementar el Sistema de Gestión de Continuidad Institucional, que planea comenzar a utilizar en el primer trimestre del 2022, no contaba en agosto de 2020 con el Análisis de Impacto al Negocio que le permita crear un Plan de Continuidad del Negocio y un Plan de Recuperación en Caso de Desastres.
4.- ISSSTE
El ISSSTE fue una de las instituciones de gobierno que en 2020 vivió un incidente de seguridad. En agosto, El Economista dio a conocer que el instituto dejó expuesta en internet información sensible de varios pacientes en varios estados del país.
Uno de los contratos analizados por la auditoría en relación con el ISSSTE es el que correspondió a su infraestructura de seguridad en el centro de datos; a estos se sumaron el de Servicios Administrados de Equipo de Cómputo Personal; ambientes de prueba y el de calidad para aplicativos institucionales; así como el análisis de la función de Tecnologías de la Información en el instituto vinculada con la ciberseguridad.
“El ISSSTE carece de una normativa en materia de seguridad informática y de gestión del riesgo operacional”, refiere la auditoría, que destaca que el instituto no administra ni supervisa los dispositivos médicos que están conectados a su infraestructura tecnológica, lo que debería resultar de gran relevancia, debido a que los hospitales dependen cada vez más de sistemas de información para llevar a cabo sus tareas, lo que los convierte en un “blanco atractivo para los cibercriminales”.
La auditoría también apuntó que el ISSSTE ha celebrado contratos por más de 2,000 millones de pesos desde el 2016 y que estos cuentan con deficiencias tales como “el uso de un centro de cómputo específico para un ambiente de pruebas que no fue utilizado”; así como servicios de seguridad que no tuvieron seguimiento por parte de la dependencia federal o aquellos servicios que incluyen funcionalidades que no fueron utilizadas. “Estas deficiencias no han permitido al ISSSTE contar con esquemas de seguridad de la información y ciberseguridad”.
5.- Secretaría del Bienestar
En la Secretaría del Bienestar, la auditoría encontró deficiencias en dos programas vinculados con el servicio de comunicaciones: la prestación del servicio integral de comunicaciones y el contrato de “Servicios para el Desarrollo del Inventario, Control y Seguimiento de la Entrega-Recepción de las Tarjetas de Bienestar”, uno de los programas insignia del presidente López Obrador. Además, la ASF hizo una revisión de la función TIC en relación con la ciberseguridad y la continuidad de las operaciones.
De acuerdo con la auditoría, en relación con el contrato de tecnología vinculado a las Tarjetas del Bienestar, este “carece de controles para acreditar las actividades desarrolladas por el proveedor; se tienen inconsistencias en los entregables; errores en la programación; así como la falta de operación del sistema en el ambiente productivo”. La ASF estimó pagos injustificados por 24.7 millones de pesos debido a estas inconsistencias.
La auditoría también encontró irregularidades en las políticas y procedimientos que tienen que ver con la ciberseguridad: deficiencias en los controles del inventario de software, configuraciones seguras para los dispositivos, protección de datos, seguridad del software de aplicación, plan de recuperación de desastres, así como la falta de pruebas de penetración a la infraestructura y soluciones tecnológicas. Según la ASF, esto podría ocasionar un “impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.
6.- Pemex
Pemex fue otra de las entidades gubernamentales que se vieron afectadas por un incidente de ciberseguridad. En el caso de la petrolera estatal, un ataque con el ransomware Doppel Paymer, que supuso la extracción de una lista con los registros de 186,143 equipos de la petrolera, también detuvo la operación digital de varios segmentos de la petrolera por semanas.
De acuerdo con los resultados de la auditoría TIC a Pemex, que se concentró en dos contratos para prestar los servicios integrales de aprovisionamiento de cómputo, así como por el servicio de comunicación segura para el acceso a internet y en una revisión de la ciberseguridad la continuidad de operaciones dentro de la función TIC de Pemex Corporativo.
Lo encontrado por la auditoría parece ser el caldo de cultivo perfecto para que se diera el ataque en contra de la paraestatal, pues esta carece “de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo” y por el contrario, tiene “servidores y equipos de cómputo con sistemas operativos obsoletos que ya no cuentan con soporte por parte del fabricante”.
La auditoría también identificó que la vulnerabilidad explotada para atacar a Pemex había sido corregida por el fabricante, Microsoft, seis meses antes del ciberataque. “Debido a la falta de gestión de actualizaciones de seguridad (la vulnerabilidad) no fue remediada por Pemex, lo que contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa”, remató la auditoría.
Fuente: https://www.eleconomista.com.mx
