Lectura 9:00 min
2020, en 12 hackeos o incidentes de seguridad en México
El Economista hace un repaso por los ciberataques e incidentes de seguridad que afectaron a instituciones públicas y privadas y que, en muchos casos, pusieron en riesgo la información personal de ciudadanos mexicanos.
El comercio electrónico, la salud digital y el trabajo y la educación remotas vieron un crecimiento sin precedentes gracias al confinamiento al que ha obligado la pandemia de Covid-19. Un crecimiento similar pasó con los ciberataques y los incidentes de seguridad, provocados estos por negligencia o por errores en la configuración de los sistemas informáticos. En algunos casos, el repunte de los casos de ciberseguridad fue de hasta 400 por ciento.
Instituciones públicas y privadas sufrieron ciberataques e incidentes de seguridad que en muchos casos pusieron en riesgo o en franca vulnerabilidad la información de cientos de miles de personas. La mayoría de las veces, los afectados por la vulneración de datos personales poco pueden hacer para proteger su información.
Este es un recuento del año a través de 12 eventos de ciberseguridad ocurridos o conocidos en 2020. Se trata de una fotografía de la ciberseguridad en México.
1. Condusef, SAT y Banxico: un ataque coordinado
El defacement es una técnica de hacking con la cual los perpetradores modifican la apariencia de una página web administrada por las víctimas de su ciberataque. Una semana completa del 2020 se convirtió en una pesadilla de defacement para tres instituciones públicas que se encuentran entre las principales encargadas de regular y supervisar el sistema financiero mexicano.
Entre el 5 y el 11 de julio, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), el Banco de México (Banxico) y el Sistema de Administración Tributaria (SAT) sufrieron afectaciones en sus respectivas páginas de internet. La más afectada fue la Condusef, cuyo portal se vio completamente intervenido por varias horas por los ciberatacantes.
Tanto Banxico como el SAT apenas vivieron intermitencias debido a la robustez de sus sistemas de seguridad, algo que sólo puede verse en México en las instituciones financieras más importantes.
2. Función Pública y las declaraciones patrimoniales
Entre mayo y junio de 2020, la Secretaría de la Función Pública sufrió un incidente de seguridad que expuso las declaraciones patrimoniales de 830,000 funcionarios públicos, una cifra que representa a más de la mitad de los empleados de la Administración Pública Federal. La información vulnerada contenía las claves de identificación fiscal (RFC) y de registro de población (CURP), además del sexo de los funcionarios afectados.
La autoridad mexicana de protección de datos, el Inai, determinó en noviembre que la Función Pública había fallado al no proteger la confidencialidad y la seguridad de los datos, además de vulnerar varios principios establecidos en la ley mexicana de datos personales, esto pese a que la secretaría de Estado reservó como clasificados por un año los detalles de esta vulneración.
3. Vulneración de datos personales en el ISSSTE
Datos sensibles de al menos 551 asegurados del ISSSTE estuvieron expuestos en internet sin ningún tipo de protección durante un lapso que permanece indeterminado. Los primeros enlaces a estos informes de procedimientos de pacientes del ISSSTE aparecieron en los principales buscadores de internet (Google, Bing y Yahoo) en abril de 2020 y los últimos permanecían disponibles bien entrada la segunda mitad del año.
Los datos revelados en estos informes incluían el nombre completo, sexo y edad de los pacientes, pero sobre todo datos sensibles, como el diagnóstico que recibió cada uno y el procedimiento quirúrgico al que fue sometido; además de datos personales de los médicos que atendieron a estos pacientes.
4. Extorsión a la Comisión Nacional de Seguros y Fianzas
La Comisión Nacional de Seguros y Fianzas sufrió un ataque anunciado. La crónica es sencilla: primero se subastan los códigos de acceso a la red de la CNSF en un foro de la red oscura (dark web, por su nombre en inglés) y a los pocos días (menos de tres) la institución denunció que había sido víctima de un incidente de seguridad cibernética que había afectado su “continuidad operativa”.
El ataque en cuestión utilizó el ransomware Lockbit, con el que los atacantes secuestraron la información de los equipos de la institución y, luego de ver que no recibirían un rescate por ella, amenazaron con hacerla pública después de un plazo determinado.
5. Todos los clientes de Yo Te Presto, afectados
Todos los clientes de la fintech mexicana Yo Te Presto (1.4 millones al momento del incidente) vieron expuestos sus correos electrónicos gracias a un acceso no autorizado a los sistemas de la compañía.
De acuerdo con el director de esta empresa de financiamiento colectivo, Luis Rubén Chávez, la vulneración no afectó la información personal de sus usuarios, debido a que sólo se había difundido su correo electrónico, y que tampoco habían sufrido afectaciones financieras en sus cuentas dentro de la institución.
El directivo dijo que la compañía había avisado tanto a sus clientes como a las autoridades financieras después de conocer del ataque que habían sufrido.
6. Una configuración equivocada de Gentera
En julio se reveló que dos servidores de Gentera, holding financiera mexicana dueña de empresas como Compartamos Banco, Compartamos Financiera, Compartamos SA, Yastás, Aterna y Fiinlab, estaban abiertos sin ninguna protección en internet.
Wizcase, la compañía de ciberseguridad que hizo este descubrimiento, aseguró haber verificado 140,000 registros de clientes del banco, los cuales incluían nombres de las cuentas de usuario, nombres completos, correos electrónicos, sexo, fecha de nacimiento, CURP, RFC, dirección y teléfono, estaban alojados en estos dos servidores.
Gentera aseguró que los datos eran muestras falsas o dummies que habían sido utilizadas por su laboratorio de investigación financiera Fiinlab y que la información de sus clientes no había sido comprometida.
7. Software malicioso en los sistemas de CI Banco
En agosto, la institución financiera CI Banco fue víctima de un intento de ciberataque que, según los directivos del propio banco, logró controlar. Sin embargo, supuestos operadores del ransomware ReVil anunciaron que harían pública la información que, aseguraron, había extraído de los sistemas del banco y que incluía datos de identificación de personas jurídicas, informes de buró de crédito y análisis de sectores industriales si la institución no se ponía en contacto con ellos.
De acuerdo con los directivos del banco, no hubo ninguna comunicación entre la institución financiera y los atacantes, por lo que CI Banco no tenía la certeza de que la información revelada fuera auténtica.
8. Banco Base: fallas e intermitencias, por un ciberataque
El grupo financiero Banco Base reveló en noviembre, a través de un comunicado, que había sido objeto de un ciberataque que había logrado controlar. Durante varios días, los usuarios de Banco Base se habían quejado por fallas e intermitencias en el servicio de la institución.
Incluso después de que el banco dio a conocer que había aislado los dos servidores en donde había descubierto el problema, sus clientes siguieron denunciando que los sistemas continuaban con fallas.
La institución dio a conocer que sus servicios serían reactivados de forma paulatina y que se encontraba en contacto con las autoridades para realizar una investigación exhaustiva y que se pudieran fincar responsabilidades.
9. La información de 4.7 millones de clientes de Clip
A finales de octubre, los datos de 4.7 millones de usuarios de la fintech Clip fueron puestos en venta en un foro en internet. Los datos incluían correo electrónico y número telefónico de los usuarios de la fintech, información que se solicita cuando una persona paga mediante la terminal creada por esta compañía fintech con el fin de recibir un recibo.
La respuesta de la compañía ante este incidente fue que los datos expuestos no contenían información financiera de sus clientes ni usuarios y que continuaría trabajando con las autoridades correspondientes sobre este tema.
10. Datos de quejas y denuncias de la ADIP, vulnerados
La Agencia Digital de Innovación Pública de la Ciudad de México (ADIP), una entidad creada por la administración de Claudia Sheinbaum y en la que la jefa de Gobierno ha basado buena parte de sus políticas públicas, fue una de las instituciones públicas que también sufrió un incidente de seguridad que expuso la información personal de ciudadanos.
La información vulnerada estaba vinculada a quejas y denuncias que habían sido levantadas dentro de su Sistema Unificado de Atención Ciudadana (SUAC), un sistema digital que concentra comunicaciones de los ciudadanos con el gobierno central y las alcaldías.
En su momento, la agencia aseguró que el incidente no se había tratado de una exposición de datos, debido a que la información no había sido difundida, pese a que esta había estado disponible mediante diversas direcciones fácilmente accesibles desde el buscador de Google.
11. iVoy: datos de 147,000 clientes, a disposición de quien sea
En agosto, el sitio de noticias de seguridad Bleeping Computer reveló que una base de datos con información de clientes de la startup mexicana de logística iVoy era ofrecida en un foro en internet.
Los correos y contraseñas de 147,000 clientes directos de la compañía se encontraban a disposición de quien quisiera descargar la información de esta empresa mexicana de mensajería con casi 10 años en el mercado.
De acuerdo con la compañía, sus clientes fueron avisados de este incidente y se les recomendó que cambiaran su contraseña para acceder a la plataforma.
12. Un hackeo atormenta a Bitso
A Bitso se le apareció un fantasma. El exchange más grande de América Latina, que acaba de levantar una inversión de más de 60 millones de dólares, vio cómo tres bases de datos con correos electrónicos, balances de cuentas y número telefónicos de 17,946 de sus usuarios eran vendidas en un foro de internet junto con la información de otras plataformas de intercambio de criptomonedas. De acuerdo con la compañía, las bases de datos ofertadas habían sido extraídas de la plataforma en un incidente ocurrido en 2016, que fue atendido en aquel momento, por lo que la seguridad financiera de sus clientes no se había visto afectada.
Lo más probable es que esta lista se quede corta en cuanto al número de incidentes de seguridad, vulneraciones y hackeos que sufrieron las empresas privadas y las instituciones públicas durante el 2020 y que no salieron a la luz pública, sobre todo por la falta de un sistema de alerta de ciberseguridad. Aun así, la lista muestra que las instituciones públicas y las financieras son las que parecen estar más vulnerables a los errores, las omisiones y los delitos que se cometen en el ciberespacio mexicano, al menos en el año en que la pandemia de Covid-19 convirtió nuestra vida en una rutina digital.