/ lunes 2 de noviembre de 2020

Padrones de la 4T son vulnerables a hackeo

En entrega-recepción de tarjetas, inconsistencias con daños a la Hacienda Pública por 24 millones

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Local

Suman 419 demandas por despido injustificado contra municipios 

El término de los trienios municipales trae consigo una limpia de personal por lo que se espera que el número de despidos pueda ser mayor el año que entra, a partir de enero

Finanzas

Más del 60 por ciento de personas recuperó su trabajo en la informalidad

Aunque el mercado laboral se encuentra reconfigurando, la iniciativa privada advierte de riesgos en materia económica, social, de seguridad y desarrollo de la población.

Local

Maestros mexiquenses eligieron a su dirigencia sindical

El candidato único por la dirigencia del SMSEM, Marco Aurelio Carbajal Leyva, acudió a una casilla especial a emitir su sufragio

Local

Arranca vacunación contra Covid-19 para personas de 18 a 29 años en Chalco

De acuerdo con información oficial se contarán con dos sedes, una con modalidad a pie y otra con auto

Futbol

Abogado de Maradona testifica por investigación sobre la muerte del astro

La muerte del astro argentino provocó una investigación sobre las condiciones en las que se dio su muerte

Justicia

Desmantelan narcolaboratorio en Calvillo, Aguascalientes

Elementos policiacos aseguraron casi 50 kilogramos de mariguana, así como utensilios y precursores químicos

Política

Evelyn Salgado pide al Congreso de Guerrero aprobar subasta de inmuebles y vehículos

El recurso se utilizará para la creación de unidades de diálisis y hemodiálisis en el estado en una primera etapa

Policiaca

Hallan sin vida a joven en San Miguel Almoloyán

De acuerdo con reportes oficiales, el hallazgo se dio durante la noche del domingo en el paraje conocido como Loma de San Miguel, Almoloya de Juárez

Justicia

"El Jaguar", detenido por delincuencia organizada, homicidio y masacre LeBarón

La Sedena dio a conoce que su detención se dio como resultado de de las actividades de inteligencia que se encontraba realizando el Ejército mexicano