Antes de que concluyera el primer mes de 2024, trascendió un incidente que recibió amplia cobertura mediática y en redes sociales: la información personal de más de 300 periodistas que han asistido a las conferencias de prensa, las “mañaneras” como se les conoce popularmente, del presidente mexicano Andrés Manuel López Obrador fue publicada en un sitio de Internet.
La base de datos extraída incluía datos sensibles que los reporteros habían entregado a la Presidencia de la República para poder acceder a estas sesiones diarias, como sus identificaciones, CURP, correos electrónicos y domicilios.
Si bien en un inicio las autoridades federales no asumieron ninguna responsabilidad, indicaron posteriormente que se accedió a los sistemas de TI gubernamentales utilizando el usuario y contraseña de un exempleado que había dejado sus filas hace dos años, y que el ataque se había lanzado desde una dirección IP ubicada en España.
Cabe resaltar que el día en que se sustrajeron los datos (22 de enero) no se activaron las alarmas, y fue hasta que los miembros de la prensa descubrieron cuatro días después que sus datos estaban en el ciberespacio y dijeron estar preocupados por su integridad, cuando los responsables de la ciberseguridad estatales comenzaron a investigar.
Un incidente de esta naturaleza resulta preocupante en un ambiente político donde la actividad periodística se considera de alto riesgo. Y también deja al descubierto una falta alarmante de controles de seguridad que proteja los datos personales de los reporteros.
Configuraciones deficientes y ausencia de prevención de fuga de datos
Más allá de las implicaciones políticas, y viéndolo desde una perspectiva tecnológica y de mecanismos de protección informática, es claro que son tres los principales factores detrás de este robo de información: configuraciones deficientes, la ausencia de mecanismos para prevenir la fuga de datos, y una visión limitada de los riesgos, lo que en su conjunto impide definir una estrategia de ciberseguridad efectiva.
De acuerdo con el Foro Económico Mundial (FEM), la ciberseguridad se ha convertido en una de las grandes preocupaciones de empresas y gobiernos; desafortunadamente, el gobierno mexicano ha adolecido de esta visión y sigue aplicando políticas de austeridad, reduciendo la inversión en software de seguridad.
La lenta evolución del marco regulatorio se suma al aumento de las fugas de datos no solamente en el sector público sino también en el privado. Desde su origen, las leyes enfocadas en la protección de datos personales en México, como la actual Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), habían tenido un ritmo de evolución relativamente continuo que se ha rezagado en los últimos cinco años.
Hay que considerar que la protección de la información de los ciudadanos debería ser una actividad innata de los gobiernos en cualquier nivel. Y es que, en el entorno empresarial, por ejemplo, la protección de datos puede convertirse en un diferenciador importante que las personas toman en cuenta en el momento de adquirir productos y servicios. Esto nos lleva a reflexionar en por qué no utilizar el mismo parámetro para exigir a un gobierno el cuidado de nuestra información personal.
Escasez de talento humano especializado
La escasez de profesionales especializados en ciberseguridad es otro elemento que abona al aumento de los riesgos y a un debilitamiento de las estrategias de defensa de las organizaciones públicas y privadas.
De acuerdo con organizaciones como la Cybersecurity Workforce Alliance, la brecha de fuerza laboral en ciberseguridad a escala global aumentó un 26% en 2022, lo que se calcula en 3.4 millones de profesionales que hacen falta en el mercado. De este número, se calcula que el 7% corresponden a América Latina, lo que significa que la brecha de este tipo de expertos es considerable, lo que también resulta preocupante cuando esta región es una de las más atacadas, después de China y Estados Unidos.
Un reto que acompaña a ocupar las posiciones disponibles para los profesionales de la ciberseguridad es que estos estén debidamente capacitados para contar con los conocimientos sólidos sobre las nuevas amenazas y riesgos, así como tener una perspectiva de negocio para ir más allá de las funciones meramente operativas. De este modo, estarán mejor preparados para afrontar las amenazas que aquejan a las organizaciones de todas las industrias.
Particularmente en el sector gobierno, la escasez de especialistas y una capacitación incompleta son una combinación letal que se deriva en una estrategia de seguridad inadecuada, una visión de riesgos pobre y ser víctima constantemente de los ataques informáticos.
Hacia una solución colaborativa
Para afrontar las amenazas y acortar la brecha de especialistas en ciberseguridad, es importante establecer una colaboración entre órganos gubernamentales, la iniciativa privada y las instituciones de educación. Esta sinergia no solo ampliará las habilidades técnicas y el conocimiento en ciberseguridad, sino que también contribuirá a reducir los costos de los ataques, así como las posibles sanciones, y acelerará la respuesta y la recuperación.
Estos jugadores, por tanto, deben poner foco en la importancia de brindar mayor capacitación y educación para desarrollar más talento, y vean a las certificaciones en ciberseguridad y disciplinas relacionadas como una inversión más que como un gasto. El retorno de dicha inversión será, por tanto, una estrategia de ciberseguridad altamente efectiva e integral.