Cuando se dio la noticia el 26 de enero de 2024 sobre una filtración de datos de periodistas acreditados a Presidencia en México, el Gobierno mexicano aclaró el 29 de enero, mediante la voz del presidente López Obrador, “no fuimos nosotros“. Fue el mismo Presidente quien pidió se aclarara durante el día lo sucedido en la filtración de datos de más de 300 periodistas. Sorprendió la declaración oficial del vocero presidencial, Jesús Ramírez Cuevas, al decir que se trató de una «extracción ilegal de datos» de un sistema inactivo.
Mediante una jornada no convencional, el Gobierno ofreció una conferencia de prensa la tarde del 29 de enero, en la que participaron el vocero presidencial, la secretaria de Gobernación (Segob), Luisa María Alcalde y el subsecretario de la Segob Arturo Medina Padilla. También estuvo presente el coordinador de Estrategia Digital Nacional, Carlos Emiliano Calderón. Lo primero que aclaró el vocero presidencial es que el acceso para obtener los datos se produjo desde una dirección IP España.
Para el especialista en tecnología, la extracción ilegal de datos (antes conocida como filtración de datos) ocurrió cuando una cuenta de una persona que trabajó en Presidencia hasta 2021 aproximadamente, accedió a los registros del sistema de personas acreditadas en Presidencia. Calderón evitó dar detalles del momento en el que se dio cuenta del acceso no autorizado y se justificó al explicar que era un sistema de preproducción, un ambiente tecnológico de pruebas, fuera de producción. El vocero presidencial destacó que se trataba de un sistema inactivo.
Un error de capa ocho
Durante la exposición de Calderón en Palacio Nacional, dio detalles de la tecnología, del firewall del Gobierno (cortafuegos), los sistemas DNS (Distributed Name System) y hasta el acceso mediante redes privadas cifradas o VPN por parte de empleados del Gobierno. Toda la explicación apuntó a que las siete capas del modelo OSI de red bien estaban protegidas. La estrategia digital mostrada por el experto no tenía fisuras, salvo por un único detalle que la gente de tecnología conoce muy bien: un error de capa ocho.
Tras ser cuestionado por NotiPress en materia de ciberseguridad, Calderón fue explícito el reconocer que datos reales de periodistas acreditados a la Presidencia de México -aunque desactualizados- se mantuvieron expuestos en un sistema preproductivo (de pruebas, antes de ser pasado a producción) protegido con usuario y contraseña disponibles en internet. También fue explícito al afirmar, el análisis forense determinó que la descarga de datos filtrados se hizo desde una cuenta activa de un exempleado de Palacio Nacional, desde una dirección IP ubicada en España.
Otro error en la estrategia
En materia de seguridad informática, existen buenas prácticas como los mecanismos de auditoria de registros, algo no mencionado en la explicación de Calderón. Asimismo, quedó claro, sin que se diga, que hubo inexistencia del cifrado de datos a nivel registro. Industrias como el sector financiero, usan el cifrado de registros mediante sistemas HSM (Hardware Security Module). Esto ofrece protección en caso de que un registro sea extraído de manera ilegal. Si alguien “roba” el dato de un registro, la información estará cifrada con mecanismos cartográficos de encriptación, lo que imposibilitará -al menos de forma simple- el acceso a la información.
Legislaciones como el RGDP en la Unión Europea o la CCPA en Estados Unidos, exigen a las empresas ofuscar o enmascarar datos en sistemas de pruebas, esto limita a quienes prueban los sistemas, tener acceso a información real y así proteger los datos. La norma ISO 27001, en el punto 8.1 exige el cifrado de los datos en ambientes de pruebas como el de preproducción.
Entonces, la pregunta obligada es ¿Para qué dejar datos reales en un sistema de pruebas expuesto a internet? La respuesta de Calderón dejó cuando menos dudas de su conocimiento en materia de ciberseguridad: “fue una ventana en la que los datos ya se estaban comparando y el preproductivo iba ya a quedar productivo”.
El coordinador intentó explicar más en profundidad, lo que condujo en una mayor confusión, al decir, “cuando la actualización y los usuarios se empiezan a sincronizar, lleva esto un tiempo y como el sistema tenía que estar las 24 horas arriba, entonces se empiezan a hacer migraciones para que solamente se hagan un switch de urls, y quede el de preproducción como productivo”. Todo quedó justificado -algo que sin mencionar-, es considerado por un novato en tecnologías de la información como un «descuido», al afirmar, “entonces fue una ventana de tiempo, donde lograron entrar en la sincronización de los datos”.
Queda poco claro, por decirlo de manera elegante, la expresión, “se estaba haciendo una sincronización de los datos“. Lo cierto es que los datos expuestos fueron reales, no se enmascararon y se expusieron en un sistema de pruebas con acceso desde internet, con la gravedad de no controlar los accesos de forma correcta, dejando una cuenta de un exempleado activa en un sistema preproductivo. Dejar una cuenta activa de un exempleado es el pecado más grande de cualquier cualquier persona que se relaciona con áreas de seguridad informática.
Lo paradójico fue la declaración del presidente López Obrador, ya que al decir «no fuimos nosotros», claramente confrontó las declaraciones del coordinador de la estrategia digital, que sin advertir, expuso los datos de periodistas acreditados en Presidencia por no seguir las recomendaciones de la industria en materia de buenas prácticas de ciberseguridad.
notipress