Hemos estado sacudidos desde finales de la semana pasada con una noticia que ha tenido muchas aristas: el robo de correos electrónicos de la Secretaría de la Defensa Nacional por un supuesto grupo de hackers activistas (hacktivistas), que se hacen llamar “Guacamaya”.

No pretendo abonar a la ya de por sí polarizada realidad de nuestro país y, aunque uno de los efectos de este robo de información es político, no analizaremos ese tema en este texto.

Lo que trataremos de hacer es comparar lo que creemos ha pasado en la Secretaría de la Defensa Nacional (Sedena) con lo que hemos podido ver que sucede en las organizaciones con respecto a su ciberseguridad, es decir, esbozar una teoría desde lo que se deja ver en los diversos medios informativos, hasta lo que podría estar pasando de acuerdo con nuestra experiencia.

“Víctimas del torbellino”. Algunas organizaciones por su desarrollo y éxito tienen muchas actividades, crecimiento exponencial; muchas veces el crecimiento es desordenado y puede incluso superar las capacidades técnicas y operativas de dichas organizaciones, sin importar su tamaño y entorno.

Generalmente, en esos momentos uno de los temas que menos interesa a las organizaciones es la protección de sus datos, están concentradas en los nuevos contratos, en los nuevos clientes, en las fechas críticas para las entregas y descuidan temas fundamentales como la ciberseguridad en un mundo digitalizado.

Quizas eso pasó a la Sedena; este es el sexenio más exitoso en su historia, están construyendo grandes obras insignia, tienen el mayor presupuesto de todos los tiempos, tienen actividades adicionales a sus labores tradicionales, en la salud, en energéticos, en la seguridad, en aduanas, en aeropuertos y un largo etcétera. Tienen fechas límite por cumplir y probablemente, como pasa en muchas organizaciones, la operación y compromisos opacaron la atención de temas básicos y prioritarios como es la ciberseguridad.

“No me amenaces”. Se habla de que hubo una auditoría que advirtió a la Sedena sobre vulnerabilidades y falta de cumplimiento de protocolos, pero no fueron escuchados y no se tomaron medidas para cubrir “los huecos en la cerca”.

Es muy probable que la alta dirección o no estuvo enterada o no entendió la magnitud del problema o no le importó con un típico “a mi no me va a suceder”.

Es muy grave que haya pasado en una institución que se dedica a salvaguardar nuestra seguridad, pero tristemente es un caso recurrente en las organizaciones; muchas veces llegan advertencias que no son atendidas y cuando la organización fue vulnerada, solo queda contar los daños.

Los controles y las auditorías de seguridad permanentes son necesarias en todas las organizaciones precisamente para prevenir amenazas.

“Austeridad franciscana”. Este es una de las máximas de la actual administración que pudo influir en la falta de tecnología suficiente y adecuada para evitar el robo de información, aunque con el auge económico de la Sedena en los presupuestos federales, es difícil de entender.

Esta es una práctica común en las organizaciones, los recursos para Tecnologías de Información y especialmente para temas de ciberseguridad o protección de la información son raquíticos, no importa la situación en la organización, exitosa o con problemas, difícilmente se visualiza la ciberseguridad como una prioridad de la inversión, a menos que hayan sido víctimas de una brecha de seguridad, como seguramente pasará con la Sedena, que, ahora sí, invertirá casi sin límites en ciberseguridad.

“Y ahora, ¿que hago?” Ha sido evidente que ni la Sedena ni las autoridades federales estaban preparadas para afrontar una vulnerabilidad en su información y mucho menos una brecha de la magnitud infringida; desafortunadamente también pasa esto en las organizaciones.

Aun cuando no hay ninguna organización 100% segura y tarde o temprano todos vamos a ser víctimas de ataque, no sabemos qué pasos debemos seguir, cómo contener, cómo recuperarse, cómo avisar a la opinión pública, cómo minimizar los daños, cómo mantener la continuidad en la operación de la institución, cómo recuperar la confianza de clientes y público, etc.

Ojalá este gran golpe a una de las Secretarías más importantes y prestigiadas de nuestro país, que aparentemente pudo haber sido peor pues solo conocemos robo de correos y no de otros sistemas, pueda servirnos para que las organizaciones tomemos conciencia sobre las graves consecuencias que puede traer un hackeo a nuestras instituciones y podamos voltear a ver qué estamos haciendo para prevenir y que tan preparados estamos.

Esperamos que aplique menos el “nadie escarmienta en cabeza ajena” y más el “poner las barbas a remojar”.— Mérida, Yucatán.

jgpalma@3xpertius.com.mx

Director general de 3xpertius, S.A. de C.V., empresa de Ciberseguridad y Transformación Digital. Vicepresidente de Ciberseguridad Canieti Sureste.

 

 

Noticias de Mérida, Yucatán, México y el Mundo, además de análisis y artículos editoriales, publicados en la edición impresa de Diario de Yucatán