México, 1 de diciembre.- La actualización en materia de ciberdefensa que las fuerzas armadas mexicanas han tenido en los últimos años, responde a una serie de alertas que se generaron en un escenario de simulación de crisis elaborado por la Junta Interamericana de Defensa, donde el Ejército mexicano no salió del todo bien evaluado. Con la nueva ley orgánica de la secretaría de Marina, la Coordinadora General del Ciberespacio del Estado Mayor General de la Armada viene a robustecer el marco de ciberseguridad donde opera desde el 2016 el Centro de Operaciones del Ciberespacio de la Sedena. La complejidad de los escenarios asimétricos y las guerras híbridas requieren de un cuerpo blindado que responda al auge de las ciberamenazas.
Uno de los objetivos fijados desde el año 2022 y que se ha actualizado en años recientes en la Mesa Redonda de Cooperación Militar Bilateral (BMCR por sus siglas en inglés) entre el Comando Norte y las fuerzas armadas mexicanas, se encuentra dentro del apartado de comunicaciones estratégicas y trata sobre el desarrollo de “una red compatible de detección, monitoreo e intercambio de información”. Este objetivo tiene cuatro objetivos intermedios, uno de ellos se enfoca en “fortalecer las capacidades y la compatibilidad operativa en la detección y monitoreo cibernético”.
En marzo de aquel año personal del Centro de Operaciones del Ciberespacio (COC) realizó una visita a las instalaciones del Comando Norte, la finalidad era materializar un intercambio de expertos en temas relacionados con la ciberseguridad.
En las últimas dos décadas ha quedado claro que el empleo del ciberespacio para desarrollar operaciones militares es un complemento al uso de otras armas convencionales en terrenos como son el aire, tierra y el mar. Los ciberataques son ya de uso común como medio para conseguir objetivos militares y su uso se ha generalizado en contextos de tensiones geopolíticas como muestra de poder de los grandes ejércitos y bloques regionales.
En el año 2020 la Junta Interamericana de Defensa (JID) elaboró un reporte sobre un ejercicio de simulación de crisis por un ataque cibernético donde participó la secretaría de la Defensa Nacional, el documento sin clasificar y cuya copia tiene este Blog, encontró que había “un preocupante nivel de capacidades entre los equipos, lo que revela un déficit significativo en el conocimiento práctico de estas áreas críticas. Las respuestas ofrecidas por los participantes no reflejaban adecuadamente las preguntas planteadas, lo que subraya la necesidad urgente de mejorar la formación en ciberdefensa”.
En el contexto actual, donde las amenazas cibernéticas son cada vez más sofisticadas, la preparación y capacidad de respuesta de los equipos técnicos en análisis forense y malware resultan esenciales, decía el informe. El ejercicio había proporcionado un panorama de primera mano de que en caso de un incidente cibernético real, las capacidades de los equipos militares del país para manejar la crisis eran insuficientes. “La falta de entrenamiento específico y la escasez en el desarrollo de habilidades forenses limitan la capacidad de los equipos para mitigar incidentes de forma efectiva. Se han identificado riesgos potenciales desde la perspectiva de un atacante externo, lo que sugiere que, sin una adecuada preparación, es probable que los equipos no estén listos para enfrentar incidentes de seguridad de manera eficiente”.
En mayo del 2022 en uno de los frecuentes “alardes de demagogia populista”, como la llamaron varios analistas de la prensa mexicana en aquella ocasión, el entonces presidente Andrés Manuel López Obrador declaró que estaría dispuesto a darle asilo a Julián Assange, creador de Wikileaks y acusado por Estados Unidos de violar la ley de espionaje tras la publicación en 2010 de mas de 200 mil cables de la diplomacia estadounidense. Tras darse un acuerdo con el gobierno estadounidense y declararse culpable con la negativa del gobierno del Reino Unido para extraditarlo, el entonces presidente mexicano ofreció darle asilo en el país. A los pocos meses se registró un inédito hackeo de correos electrónicos a la secretaría de la Defensa Nacional que se atribuyó el colectivo de hackers autodenominado “Guacamaya”, que evidenció la fragilidad de los sistemas de operaciones cibernéticos de la dependencia. Una de las razones que altos mandos militares reconocieron años después detrás de ese ataque, fue la falta de inversión en infraestructura y los recortes a la ciberdefensa que terminaron por exhibir lo que el informe de la JID había advertido dos años atrás.
VULNERABILIDAD
La evaluación puso en evidencia la “limitada capacidad de los equipos para resolver casos sencillos de seguridad, como accesos no autorizados y el análisis de logs de aplicaciones”. El informe hacía hincapié en “la incapacidad para detectar y responder a incidentes menores”, lo cual “puede llevar a una situación donde un ataque real no sea identificado en su fase inicial y, por ende, se dificulten las investigaciones necesarias para determinar el origen del ataque y aplicar las correspondientes medidas de remediación”.
Uno de los puntos clave en el análisis de malware era que mostraba un panorama similar al de las capacidades forenses, es decir, evidenciaba un desarrollo muy escaso en la materia. “Esto es alarmante, dado que un adecuado entendimiento y manejo de malware son fundamentales para la defensa cibernética. Los resultados sugieren que el entrenamiento en ciberdefensa impartido por la JID no ha tenido el impacto esperado en los participantes técnicos, lo que resalta la necesidad de una mayor práctica y entrenamiento efectivo en entornos simulados, como el cyber range Argus Eye”, decía el informe.
“Con base en lo anterior, es evidente que, para alcanzar los requisitos mínimos necesarios para conformar un equipo de respuesta ante incidentes de seguridad cibernética (Computer Security Incident Response Team (CSIRT)) con un nivel de madurez medio, se requerirá un compromiso adicional en la capacitación intensiva de los equipos. Este proceso no solo deberá enfocarse en el conocimiento teórico, sino también en la práctica real en situaciones simuladas que reflejen escenarios de amenazas actuales”.
En las conclusiones del ejercicio de Simulación de Crisis se subrayaba que sirvió de indicador importante de las “deficiencias presentes” en la formación de los equipos en ciberdefensa. “Es crucial establecer programas de capacitación más robustos que aborden estas carencias y fortalezcan la capacidad de los equipos para gestionar y mitigar incidentes de seguridad cibernética de manera efectiva”.
ATAQUES
Antes del hackeo de Guacamaya en el otoño del 2022 a los sistemas de correo de la Defensa Nacional, los registros en fuentes abiertas de ataques cibernéticos formaban una línea de tiempo con los siguientes episodios como los más relevantes.
El 15 de septiembre del 2011, el sitio web de la Sedena sufrió un ataque DDOS, como se le llama al intento por interrumpir el servicio normal de un servidor, red o sitio sobrecargado con una avalancha de tráfico de internet.
En 2012 el sistema de hackeo “Finisher” robó diversa información a través de teléfonos celulares y computadoras personales.
En 2013 el grupo “Anonymous” se adjudicó el ataque de páginas web de las fuerzas armadas y Comisión Nacional de Seguridad.
En noviembre del 2017 se registraron ataques a páginas web del INE, universidades y partidos políticos para acceder a sus bases de datos.
Abril de 2018 instituciones financieras fueron afectadas por el robo de aproximadamente 300 millones de pesos a través del sistema de pagos electrónicos interbancarios SPEI.
El 10 de noviembre Pemex fue objeto de un ataque a su infraestructura tecnológica, se trató de un malware tipo Ransomware software malicioso que cifra la información de un equipo de cómputo.
Del 5 al 11 de julio de 2020 la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), el Banco de México (Banxico) y el Sistema de Administración Tributaria (SAT), sufrieron afectaciones de sus respectivas páginas de internet (modificaron sus páginas web).
En mayo y junio de 2020 la secretaría de la Función Pública expuso las declaraciones patrimoniales de 830 mil funcionarios públicos, cifra que representa mas de la mitad de los empleados de la administración pública federal.
En agosto del 2020 los servicios bancarios de CI Banco fueron objeto de un intento de ciberataque que según sus directivos, lograron controlar. Hoy día este banco cerró sus operaciones luego de que las autoridades financieras del país le revocaron su licencia en octubre pasado debido a señalamientos de lavado de dinero.
Juan Veledíaz / @velediaz424 / EstadoMayor.mx