Los múltiples ciberataques que recientemente han comprometido la seguridad de instalaciones nucleares y nucleoeléctricas de la Secretaría de la Defensa Nacional (Sedena) y del Poder Judicial de la Ciudad de México (CDMX) se deben a que el país tiene un rezago de 15 años en esta materia y carece de leyes que protejan su información vital.

El déficit tecnológico, que ha convertido a México en un paraíso de los ciberdelincuentes, se acentuó durante la administración federal del presidente Andrés Manuel López Obrador (AMLO) debido a que no existe planificación estratégica ni gasto público necesario para garantizar la ciberseguridad moderna, reveló a buzos Víctor Ruiz, fundador de Silikn, empresa especializada en consultoría y capacitación sobre ciberseguridad.

En 2013, al inicio del gobierno de Enrique Peña Nieto, se diseñó la Estrategia Digital Nacional (EDN) perteneciente a un ambicioso proyecto para fomentar y modernizar el uso de tecnologías de la información en la administración pública y la economía nacional mediante la conectividad y la inclusión digital, que priorizaba en la ciberseguridad. 

Con el arribo de AMLO a Palacio Nacional, la responsabilidad de la EDN recayó en Raymundo Artis Espriú, quien nunca tuvo una cuenta de X (antes Twitter) o en otras redes sociales que lo vinculara a sus tareas cotidianas, por lo que tampoco supo responder a los cuestionamientos relacionados con éstas.

Posteriormente, la EDN quedó a cargo de Carlos Emiliano Calderón Mercado quien, según su biografía curricular, es experto en tecnologías de información y, específicamente, en el diseño y aplicación de sistemas de comunicación digital destinados a la administración pública. Sin embargo, en sus manos, la EDN tampoco mostró capacidad de respuesta ante los ciberataques; y hoy siguen en riesgo tanto el Estado nacional como los ciudadanos.

Uno de los ciberataques de mayor impacto público ocurrió en enero de 2024, cuando la consultora de seguridad Silikn publicó que los datos personales de casi 300 periodistas fueron sustraídos del Sistema de Acreditación de Prensa de la Presidencia de la República y “filtrados” a foros desconocidos o clandestinos.

La información saqueada incluía números telefónicos, direcciones postales, credenciales de elector y pasaportes; fue robada por un exempleado ahora residente en España; por lo que el ciberataque generó un gran escándalo; además, se agravó por la imprudencia de AMLO, quien difundió los nombres de varios periodistas afectados.

Posteriormente, para enmendar su error o en un acto deliberado, el inquilino del Palacio Nacional anunció acciones legales contra el responsable del ciberataque y ofreció protección física gubernamental a los periodistas en cuestión.

El Portal del Empleo y la Sedena fueron hackeados este año. Ocurrió en febrero, cuando fue robada la información personal de más de 12 millones de mexicanos del sitio. Días después, la Sedena sufrió también un saqueo perpetrado por cibercriminales internacionales. Ambos robos se sumaron al ciberataque masivo de Guacamaya Leaks, perpetrado en septiembre de 2023, considerado el mayor en la historia del país, porque fueron hackeados miles de documentos confidenciales.

Entre 2021 y 2024, las instalaciones nucleares y nucleoeléctricas de México sufrieron cuatro ciberataques que comprometieron sus tareas durante aproximadamente cuatro horas, según la Comisión Nacional de Seguridad Nuclear y Salvaguardias (CNSNS). El último saqueo, en marzo pasado, se efectuó desde Brasil.

El ataque más reciente, revelado por la empresa Silikn, sucedió a principios de este mes, cuando el grupo de hackers Mexican Mafia difundió datos confidenciales del Poder Judicial de la CDMX, incluyendo información personal de más de 162 mil abogados; así como del Tribunal Superior de Justicia y del Instituto Mexicano del Seguro Social (IMSS).

Entre los datos divulgados se hallan los códigos-fuente, credenciales de acceso, correos electrónicos, contraseñas y detalles legales sensibles. Esta información circula en la deep web y puede ser empleada para cometer fraudes, extorsiones y manipular juicios legales. Otras dependencias del gobierno y el Estado asediadas también por los cibercriminales son Petróleos Mexicanos (Pemex), la Secretaría de Economía (SE), el Sistema de Administración Tributaria (SAT) y el Banco de México (Banxico).

En 2023 se registraron más de 94 mil millones de intentos de ciberataques en México, según un informe de Fortinet; cifra inferior a la habida en 2022, cuando se reportaron 187 mil millones. Los expertos advierten que los ataques se han vuelto más sofisticados, por lo que se dificulta su detección y prevención.

La situación es alarmante

Víctor Ruiz explicó a este semanario que América Latina –en particular México, Brasil y Colombia– constituye el principal blanco de los ciberdelincuentes porque sus defensas resultan débiles frente a las de EE. UU., Europa y Asia, cuyos sistemas cibernéticos son fuertes.

Agregó que la situación crítica de México se agrava por la falta de cultura cibernética en la población y porque a pesar de que las empresas privadas ya han tomado conciencia sobre la importancia de la ciberseguridad, el sector gubernamental se mantiene rezagado.

“El sector empresarial ha avanzado en protección y compromiso; pero el gobierno aún está muy atrás y la falta de preparación incrementa la vulnerabilidad del país ante los ciberataques”, destacó Ruiz. El Gobierno Federal ha contratado a empresas de tecnología de información Cisco, Microsoft, Intel, Checkpoint, Fortinet y Palo Alto para fortalecer sus sistemas; pero no las ha actualizado y la mayoría están obsoletas.

Ruiz también recordó que durante la administración del expresidente Vicente Fox los ciudadanos realizaban trámites en línea, descargaban documentos y accedían a servicios burocráticos rápida y eficientemente, pero hoy la tramitología en varias dependencias se pausa porque la “austeridad republicana” limitó su gasto y no han actualizado servidores ni software.

Este hecho, que al principio parecía irrelevante, ha provocado la obsolescencia de muchos sistemas digitales en el gobierno, y que la mayor vulnerabilidad se halla precisamente en la descuidada defensa frente a los ataques de cibercriminales.

Según información de la consultoría Select, el presupuesto asignado en 2022 para Tecnologías de la Información y Comunicaciones (TIC) fue de 32 mil 334 millones de pesos (mdp); pero sólo se ejercieron 25 mil 854 millones, lo que representó un subejercicio de 20 por ciento, el más alto en la administración de AMLO. En 2020 y 2021, los subejercicios fueron del ocho y cinco por ciento respectivamente.

Además, hace dos años apenas, se utilizó el 30 por ciento del presupuesto destinado a la adquisición de programas de cómputo o licencias con una inversión de 348 mdp sobre un presupuesto de mil 160 millones. Los servicios de telecomunicaciones y hardware representaron únicamente 25 por ciento del gasto; los consumibles, 17 por ciento; y las TIC, seis por ciento, según Select.

En 2023, el presupuesto asignado a las TIC aumentó a 33 mil 643 mdp, el monto más alto desde 2015; pero el incremento corresponde solamente al cuatro por ciento con respecto al año anterior y fue el más bajo en este sexenio. Los recortes presupuestales han sido determinantes para el rezago y deterioro de la ciberseguridad en el gobierno.

Por ello, el experto Víctor Ruiz reportó que la percepción de que México se ha convertido en un “paraíso” para los hackers tiene fundamento real; pues la combinación de la obsolescencia en los sistemas, la falta de sanciones y la lenta respuesta de las autoridades han creado un ambiente propicio para que los cibercriminales experimenten y perfeccionen sus ataques:

“Utilizan a México como campo de pruebas, vulnerando sistemas locales para luego exportar sus técnicas a otros países con mayor sofisticación tecnológica. La ausencia de una ley específica de ciberseguridad y la falta de acuerdos internacionales efectivos complican la persecución y sanción de los cibercriminales, especialmente cuando éstos operan desde el extranjero”, informó.

Subrayó, además, que este escenario crítico requiere una respuesta inmediata y contundente: “es imperativo que el gobierno mexicano retome las inversiones en tecnología y ciberseguridad, actualizando sus sistemas y formando equipos especializados en respuesta a incidentes cibernéticos. Además, es necesario avanzar en la creación de una ley de ciberseguridad que contemple sanciones claras y facilite la cooperación internacional en la persecución de delitos cibernéticos.

“La ciberseguridad no debe ser vista como un gasto, sino como una inversión estratégica para la protección de la información y los servicios públicos en un mundo cada vez más digitalizado. Si no se toman las medidas adecuadas, los costos a largo plazo, tanto económicos como sociales, serán incalculables.

“En la era digital, la ciberseguridad se ha convertido en un tema prioritario para gobiernos, empresas y ciudadanos en todo el mundo. Sin embargo, en México, la falta de legislación sólida en esta área ha dejado una gran brecha en la protección y castigo contra los ciberataques. Esta situación no sólo expone a las personas a posibles robos de información, sino que también dificulta la acción de las autoridades frente a estos delitos”, aseguró.

Actualmente, cuando una persona o empresa sufre un ciberataque, como el robo de información, el proceso de denuncia y seguimiento resulta complicado. A menudo, los ministerios públicos priorizan otros delitos considerados urgentes y dejan a las víctimas de la ciberdelincuencia en una posición vulnerable. Además, muchas veces las autoridades carecen de las herramientas y del conocimiento adecuado para investigar estos crímenes, lo que propicia la falta de sanciones contra los culpables.

Y aunque la población parece ajena a los ciberataques, la ONG Red en Defensa de los Derechos Digitales (R3D) recabó información que asegura que todos los ciudadanos son vulnerables. Una de las participantes en el Taller de Seguridad Digital, organizado en julio de 2024 por esa agrupación, lamentó tras concluir: “he tomado conciencia de lo vulnerable que somos como personas en la red”.

Los datos biométricos en peligro 

Con respecto a la propuesta del partido oficial, Morena, de crear un “sistema nacional de registro de identidad con datos biométricos”, el especialista reconoció que tendría la ventaja de contar con un registro actualizado de las personas, lo que podría facilitar y garantizar la prestación de servicios básicos, como el sanitario y el educativo, a quienes tienen derecho a ellos.

No obstante –aclaró–, en un país donde la ciberseguridad no está completamente garantizada, este tipo de registro puede ser altamente riesgoso. Mientras en las dependencias gubernamentales no exista una ley y controles adecuados de ciberseguridad, un sistema como el propuesto sería de alto riesgo; únicamente hasta que “todo se estabilice y pueda llegar a controlarse de una manera más segura, podría tener algún beneficio. Mientras tanto, no. Creo que es muy peligroso”.

Finalmente, afirmó que las ciberamenazas más fuertes no residen únicamente en los recursos utilizados por los cibercriminales, sino en su capacidad para organizarse y colaborar rápida y eficientemente. Es vital que México acelere sus esfuerzos para legislar en materia de ciberseguridad y capacitar a las autoridades en la detección y respuesta a estos ataques; sólo así se podrá proteger adecuadamente la información y los derechos de los ciudadanos en el entorno digital.

“Los hackers pueden vulnerar en 15 segundos las instalaciones en México”, denunció por su parte Ignacio Gómez Villaseñor, especialista en temas de ciberseguridad, quien además destacó, apoyado en datos recabados por Fortinet, que el 73.9 por ciento de los principales ciberdelitos en América Latina tienen afectación financiera, seguidos por el espionaje y otros delitos de índole económica y política.

México tiene un rezago de 15 años en materia de ciberseguridad con respecto a otras naciones que ya cuentan con una legislación sobre este asunto, sentenció Carlos Estrada Nava, director de Ciberseguridad en Vestiga Consultores.