/ lunes 2 de noviembre de 2020

Padrones de la 4T son vulnerables a hackeo

En entrega-recepción de tarjetas, inconsistencias con daños a la Hacienda Pública por 24 millones

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Los padrones de los programas sociales del gobierno del presidente Andrés Manuel López Obrador se encuentran vulnerables a ciberataques, indica una revisión de la Auditoría Superior de la Federación (ASF) a la Cuenta Pública 2019. La auditoría hecha a la Secretaría de Bienestar también revela inconsistencias en el sistema de entrega-recepción de las tarjetas bancarias en las que los beneficiarios reciben sus apoyos, lo que podría significar un daño a la Hacienda Pública de 24 millones de pesos.

De acuerdo con la auditoría de cumplimiento número 239-DS, la dependencia presentó serias irregularidades en materia de ciberseguridad, lo que “podría causar un impacto negativo en la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de los diversos programas sociales”.

➡️ Mantente informado en nuestro canal de Google Noticias

Las mayores deficiencias en ciberdefensa fueron encontradas en el inventario y control de activos software, el uso controlado de privilegios administrativos, la protección de datos y la implementación de un programa de concientización y entrenamiento de seguridad, que tuvieron un cumplimiento de cero por ciento.

La ausencia de estos elementos, indica el órgano fiscalizador, significa un grave riesgo debido a que la Secretaría no tiene la capacidad para evitar la instalación y ejecución de software no autorizado, detener un posible ataque que pueda extenderse en las redes de la Secretaría o identificar los conocimientos, habilidades, brechas y capacidades de sus funcionarios, los cuales son necesarios para el soporte de la seguridad de la información.

También se detectaron controles insuficientes en la seguridad de software de aplicación; en la configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores, y en las pruebas de penetración y ejercicios de equipo rojo, que tuvieron un cumplimiento de 9.1 por ciento, 20 por ciento y 33.3 por ciento, respectivamente.

Esto deja a los padrones vulnerables a ser explotados para acciones indebidas y poner en riesgo la operación de la dependencia al no identificar las vulnerabilidades y vectores de ataque que tienen sus redes y sistemas, alerta la ASF.

La Auditoría también encontró “pagos injustificados por servicios no devengados” en la contratación de un sistema para llevar el inventario, control y seguimiento de la entrega-recepción de las Tarjetas del Bienestar, principalmente en lo que respecta a los beneficiarios del programa Pensión para Adultos Mayores. El probable daño a la Hacienda Pública Federal asciende a 24 millones 699 mil 91 pesos.

De acuerdo con la autoridad fiscalizadora, el contrato por este servicio fue asignado por adjudicación directa al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC). Sin embargo, la Secretaría de Bienestar careció de “controles para acreditar las actividades desarrolladas por el prestador del servicio en el desarrollo del sistema”.

La revisión de la ASF arroja que a pesar que el programa para adultos mayores cuenta con un padrón activo de más de ocho millones de personas, el sistema solo tenía cargada información de un millón 769 mil 949 tarjetas. Y de estas, sólo 136 aparecían como “tarjetas por aceptar” y apenas 23 como “tarjetas por asignar”, ninguna aparecía como entregada. Por si esto fuera poco, la información se había procesado de manera previa a la firma del contrato.

Para la Auditoría, el hallazgo “confirma que los datos que se encuentran en el sistema son de prueba, aun cuando han pasado más de 11 meses de la terminación del contrato”.

El órgano fiscalizador concluyó respecto al sistema de monitoreo de las tarjetas que “se carece de controles para acreditar las actividades desarrolladas por el prestador de servicio en el desarrollo de los sistemas”, además que “no fue posible comprobar el cumplimiento de todas (sus) funcionalidades; se detectaron inconsistencias en los entregables, errores en la programación del sistema, así como datos de prueba que confirman que el sistema no se encuentra en operación”.

Finalmente, la ASF señala que el proveedor, INFOTEC, no acreditó la capacidad humana y económica para cumplir con el servicio.

TAMBIÉN EL INEGI

La Auditoría también encontró que los sistemas de ciberseguridad del Instituto Nacional de Estadística y Geografía (Inegi) son ineficientes y carecen de protocolos que garanticen la protección de información sensible dentro y fuera de la administración

Según una auditoría de desempeño realizada al organismo que dirige Julio Santaella, la ASF identificó que no existe herramienta alguna para detectar equipos conectados a una red, así como tampoco hay una lista de aplicaciones confiables dentro del instituto.

Aunado a ello, no se sabe quiénes son las personas que tienen acceso a información sensible, como estaciones de trabajo, direcciones IP de computadoras internas, imágenes o plantillas de configuración para los servidores del Inegi.

Incluso, no se tiene evidencia de que el personal acceda a la red de la institución desde un equipo seguro, aun cuando sea para desempeñar tareas de un “acceso elevado” o simples actividades administrativas.

En lo que va del año, al menos tres instituciones públicas han sufrido ataques en sus sitios de internet. El pasado 6 de julio, el portal web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado por el grupo de hacktivistas de Anonymous México.

De acuerdo con esta organización, se trató de un reclamo al presidente Andrés Manuel López Obrador respecto a la transparencia en las dependencias del Gobierno federal.

Al día siguiente, la página del Banco de México (Banxico) sufrió una desconexión por casi 30 minutos, lo que provocó que el sitio estuviera inactivo o no se pudiera consultar información de manera completa. Luego de 48 horas, el Servicio de Administración Tributaria (SAT) también fue víctima de cibercriminales, quienes atacaron la página web por un lapso aproximado de tres horas.

Cada institución descartó un robo de información en sus sistemas o fuga de datos financieros; sin embargo, aseguraron que continuarán trabajando en reforzar su seguridad digital para prevenir otro evento de este tipo.

En el caso del Inegi, si bien no se ha reportado alguna anomalía en sus sistemas, la ASF destacó que no se sabe el alcance y potencial que tengan sus herramientas de ciberseguridad.

“El Instituto no ha implementado mecanismos de monitoreo y seguridad suficientes que garanticen que el tráfico de y hacia Internet provenga solo de sitios seguros. Se mantiene en línea información y sistemas que ya no son utilizados, por lo que cualquier persona con acceso a la red del instituto podría consultarla”, subrayó la ASF.

Agregó que el Inegi se encuentra trabajando en el desarrollo del Sistema de Gestión de Continuidad Institucional (SGCI), que hasta agosto pasado reportó un avance de 65 por ciento y se prevé que su operación inicie en el primer trimestre de 2022.


Con información de Miguel A. Ensástigue






Te recomendamos el podcast ⬇️

Apple Podcasts

Google Podcasts

Spotify

Acast

Deezer

Gossip

¿Qué hacer en Hermosillo? Agenda completa de actividades del 21 al 24 de noviembre

Los conciertos masivos siguen teniendo lugar al lado de las exposiciones y los montajes escénicos de los mejores artistas plásticos y del teatro independiente local

Local

Congreso declara Día Estatal de la Pequeña y Pequeño Comerciante Sonorense

La iniciativa busca reconocer el trabajo de los pequeños comerciantes, pues su aportación a la economía local es de vital importancia para el sustento de las familias

Policiaca

¿Qué pasa si le faltas el respeto a un policía? esto dice el Código Penal del Estado de Sonora

Natanael Cano nuevamente se encuentra envuelto en polémicas, ahora por un vídeo donde se le ve agredir verbalmente a un oficial de la policía municipal de Hermosillo

Policiaca

Detectan más redes de videovigilancia del crimen organizado en Sonora

Tras desmantelar 11 cámaras instaladas por el crimen organizado en puntos estratégicos de Cajeme, fortalecerán la atención al tema y continuarán con los operativos

Doble Vía

Empalme se viste de arte: Escolta desfila con sus lugares más emblemáticos en sus faldas

Una escolta de primaria de Empalme, Sonora, desfiló con las faldas adornadas con los lugares más emblemáticos de ese lugar, con un trabajo de aerografía de un artista local

Local

Crisis de vivienda social en Sonora: Falta de opciones para familias de bajos ingresos

El sector laboral de Sonora hizo un llamado a los tres niveles de gobierno para atender el rezago en vivienda de interés social