El Senado gastó 154 mdp en ciberseguridad pero una auditoría revela irregularidades y mala gestión

El Senado gastó 154 mdp en ciberseguridad pero una auditoría revela irregularidades y mala gestión

El Senado ha impulsado una fuerte agenda en materia de ciberseguridad. La entrega de contratos por adjudicación directa que rebasaron los 154 millones de pesos deja abierta la posibilidad de acciones de favorecimiento a ciertos proveedores pero la elevada suma poco se justifica en los resultados.

Entre el 2019 y el 2020, la LXIV Legislatura del Senado de la República gastó 154 millones 645 mil pesos para reforzar la ciberseguridad. La inversión implicó un sistema de detección de alertas que funcionó de manera irregular, de acuerdo con las observaciones de la Auditoría Superior de la Federación (ASF). Meses después de generar la compra y sin contar con una estrategia se contrató a una  segunda agencia para realizar un diagnóstico que implicó un gasto dos veces mayor.

Durante los últimos meses han sido impulsadas desde el Senado por lo menos cuatro iniciativas sobre ciberseguridad. Lucía Trasviña, senadora por el Movimiento de Regeneración Nacional (Morena) propuso la conformación de la Agencia Nacional de Seguridad Informática; Miguel Ángel Mancera, senador por el Partido de la Revolución Democrática (PRD) propuso la creación de un Centro Nacional de Ciberseguridad, Alejandra Lagunes Soto, senadora del grupo parlamentario del Partido Verde Ecologista de México (PVEM) pidió que se anexara a México al convenio sobre ciberdelincuencia o convenio de Budapest.

Además, el diputado Javier Salinas Narváez propuso la creación de una Plataforma Nacional de Ciberseguridad administrada por el CERT Mx. Este repentino interés por el tema de la seguridad digital nacional desde el poder legislativo, implicaría un alto margen de ganancia para los proveedores que resulten beneficiados. Sin embargo, el interés del Senado por la ciberseguridad se ha dado durante esta Administración entre el caos, la implementación de procesos deficientes y costosos.

Entre el 9 y el 31 de diciembre del 2019, el Senado contrató a la empresa Mavape, S.A.P.I de C.V. para proporcionar servicios de ciberseguridad por un monto de 33 millones 988 mil pesos. Sin embargo, en noviembre del 2020, la ASF observó irregularidades en la auditoría 1396-GB por la manera en qué se puso en operación este servicio. Estas observaciones mostraron el caos que prevaleció en esta contratación por adjudicación directa.

En septiembre del 2020, nueve meses después de concluir el contrato con Mavape, S.A.P.I. de C.V., el Senado contrató a la empresa Gobist, S.A. de C.V. para que realizara un análisis de vulnerabilidades operativas de ciberseguridad, con un costo de 69 millones 600 mil pesos, más del doble de la primera inversión en sensores y ciberpatrullaje.

Ambos contratos fueron autorizados por Miguel Ángel Dávila Narvaez, director general de Recursos Materiales y Servicios Generales, mientras que Luis Angel Martinez Yebra se desempeñaba como director de infraestructura de informática y de comunicaciones, y Patricia Salazar Aguilar como directora de adquisiciones. Ambos contratos fueron otorgados por adjudicación directa.

En el periodo en que se realizaron estas dos compras, la LXIV Legislatura había contratado a la empresa Millenium Technologies, S.A. de C.V., a la que entregó cinco contratos por servicios de ciberseguridad. En total, el Senado invirtió 154 mil millones 645 mil pesos en esta materia, entre el 18 de agosto del 2018 y el 31 de diciembre del 2021.

CIBERATAQUE VS PEMEX

La justificación para contratar a Mavape y a Gobist se detalló en los antecedentes del proyecto que entregó la dirección general de Informática y Telecomunicaciones para realizar ambas compras. En este documento se reconoció que el cibertaque que sufrió Pemex en noviembre del 2019 fue llevado a cabo por una unidad de guerra cibernética del Ejército chino en la que se afectó la infraestructura crítica de Pemex y la Comisión Federal de Electricidad (CFE) y que este tipo de ataques implicaban un alto riesgo.

En el caso de Pemex, las pérdidas que generó este ataque alcanzaron una suma de por lo menos 5 millones de dólares. Este ciberataque fue una de las principales justificaciones para adquirir las compras en servicios y productos de ciberseguridad que realizó el Senado durante la LXIV Legislatura.

En 2015 ya habían adquirido “servicios de prevención, monitoreo, detección de las amenazas, fallas en la red informática y de comunicaciones. Se adquirieron tres servidores con cinco aplicativos web: Emas, Argos, Tritón, Hera y Carmen.

En 2017, interconectaron el servicio de ciberseguridad con soporte y coordinación ejecutados desde España y Colombia. De acuerdo con el informe de la DGIT, la aplicación Emas en el último mes del 2019, generó y gestionó 46 mil 411 eventos, además de 126 mil 826 por el sistema de monitoreo de disponibilidad de la infraestructura, y 113 mil 212 eventos de ciberseguridad. La aplicación Argos, generó 58 millones 84 mil 709 alertas de intrusión.

SISTEMA COSTOSO PERO NO EL MEJOR

De acuerdo con los resultados de la auditoría de la ASF, el Senado no realizó análisis ni  utilizó criterios con base en los niveles de riesgo para ubicar los seis sensores que Mavape vendió al Senado y que solo estuvieron vigentes del 20 de diciembre del 2019 al 20 de diciembre 2020.

Según las observaciones de la ASF, este equipamiento fue implementado sin un análisis previo para determinar los riesgos, únicamente se guiaron por un diagrama que contenía direcciones IP y que se le entregó al proveedor.

El sistema de detección de amenazas implementado en el Senado se conoce como IDS ( Intrusion Detection Systems, por sus siglas en ingles). Al estar basado en firmas su funcionamiento se lleva a cabo a partir de la comparación de bases de datos sobre ataques ya reconocidos, de manera muy similar a como trabaja un software de antivirus.

El sistema es eficiente pero no el más completo y avanzado del mercado. Algunos especialistas coinciden en que presenta vulnerabilidades que requieren considerarse, sobretodo cuando se justifica su implementación en amenazas emergentes.

En junio de 2021, la Universidad de Castilla-La Mancha publicó un informe sobre las capacidades de detección de los IDS basados en firmas, en el que se señaló que aunque estos sistemas son eficaces, no pueden detectar ataques de día cero, es decir, aquellos que se generan por primera vez y no están en las bases de datos.

Pero además, esta capacidad está sujeta a la calidad de las firmas disponibles y dependen del tiempo y la herramienta empleada. La investigación arrojó que los IDS basados en firmas presentan una gran variabilidad en su eficacia y ofrecen una cobertura insuficiente en ataques conocidos, incluso cuando las firmas están actualizadas y optimizadas.

“Los resultados de nuestras pruebas evidencian una gran variabilidad en las prestaciones en función de la herramienta seleccionada, así como una deficiente cobertura de ataques conocidos, incluso cuando se optimizan las reglas para ajustarse al sistema a proteger”, señala el estudio.

SIN ACCESO A LOS SENSORES

De acuerdo con la ASF, Mavape implementó el equipo y lo dejó a cargo de la dirección general de informática y telecomunicaciones (DGIT) y la empresa solo proporcionó soporte técnico mediante un acuerdo que no se llevó a cabo por escrito. Esto implicó que en caso de presentase fallas el Senado no contó con garantías de que el proveedor respondiera.

Cuando los auditores solicitaron realizar pruebas a los sensores, el personal del DGIT informó que no contaban con acceso a la consola de administración. También encontraron que el proveedor solo capacitó al personal del Senado para interpretar los análisis que la empresa les entregaba, y llevar a cabo las recomendaciones que se les hicieran, pero no les capacitó para operar los sensores adquiridos.

Además, la operación de los sensores dependía de que se contara con presupuesto para renovar las licencias, pero no se realizó una evaluación para determinar la viabilidad de la continuidad de la operación de los sensores.

Durante la auditoría, debido a que el personal del Senado no tenía acceso a la consola de administración, el proveedor tuvo que mostrar la operación de los sensores a través de pantallas en las que los auditores no pudieron corroborar la vigencia de las licencias con las que operaron los sensores, y no se tuvo certeza de que operaran de manera correcta.

auditoria_senado_2019_1396_a

SIN ESTRATEGIA DE CIBERSEGURIDAD

A pesar del gasto millonario en la adquisición de los sensores, el Senado no tenía una estrategia de ciberseguridad. Mientras que se justificó esta compra con el incremento de los ataques a instancias gubernamentales, como el caso del hackeo a Pemex, no se realizaban prácticas básicas de prevención como la actualización de equipos.

Según el reporte de la Auditoria en 90 tickets atendidos se señaló que los servidores no contaban con las actualizaciones y parches de seguridad actualizados. Esto pudo convertirse en una vulnerabilidad explotable por ciberdelincuentes y hackers.

También se encontró tráfico inusual en un puerto sin evidencia de que la vulnerabilidad fue atendida. Se detectaron peticiones de direcciones públicas hacia otro de los puertos sin que se reportara que las direcciones fueron bloqueadas, varias de ellas se encontraban en listas negras según la ASF.

Se encontró que un equipo intentó acceder a un sitio bloqueado por los políticas del Senado sin que se encontrara evidencia de que el sitio fuera escaneado para detectar la presencia de malware, un procedimiento recomendado por el mismo proveedor.

Tampoco se encontró un plan de gestión de incidentes de ciberseguridad. De un total de 246 incidentes de seguridad que los sensores identificaron, cinco no lograron ser resueltos: detección de ataque de inyección de código SQL, detección de intentos de acceso a servidor web, intento de explotación de vulnerabilidad en routers Gpon, detección de intentos de acceso fallido al servicio SSH y detección de tráfico inusual al servicio VNC.