Gobierno mexicano, sin reacción al ciberespionaje de EU
Hace dos semanas, un grupo autodenominado TheShadowBrokers filtró en la web los códigos usados por la NSA para introducirse en los sistemas informáticos aprovechando una serie de vulnerabilidades contenidas en Windows, el sistema operativo de Microsoft.
Microsoft es uno de los principales contratistas de software de la Administración Pública Federal de México quien suscribió un contrato marco en el 2014 con la Secretaría de la Función Pública (SFP). En febrero, el gobierno, a través de la Policía Federal, firmó un convenio de colaboración con Microsoft para combatir a las amenazas y delitos cibernéticos.
Tras la divulgación, Microsoft dijo que «la mayoría de las vulnerabilidades ya han sido reparadas» en las versiones actualizadas de su sistema operativo. La última reparación de vulnerabilidades fue lanzada apenas el mes pasado.
En el aire quedan interrogantes sobre el tiempo en que las plataformas permanecieron vulnerables y si existieron intrusiones no autorizadas de la NSA, sobre todo en los sistemas de gobierno. A pesar de la estrecha relación que existe entre la empresa y el gobierno de México, ni las autoridades ni Microsoft han tenido algún contacto para abordar el tema.
“En primer lugar, no comentamos sobre rumores y especulaciones porque a veces son noticias de prensa que Wikileaks nos acusa de vulnerabilidades que no están comprobadas. Y no hemos sido contactados por ninguna agencia de investigación y ningún gobierno para investigar este tipo de asuntos”, reconoció Jorge Vega-Iracelay, director senior de asuntos legales y asuntos corporativos de Microsoft México ante el cuestionamiento si ha existido algún acercamiento con las autoridades.
Algunas voces de la industria son escépticas de la cercanía que existe entre el gobierno mexicano y Microsoft. Uno de ellos es Juan Manuel Luna, director de Arbor Networks para México, Centroamérica y el Caribe.
“Los esfuerzos han sido aislados e insuficientes y a lo mejor no coordinado. Respeto mucho lo que hace Microsoft, tiene iniciativas globales de seguridad interesantes pero no hubiera sido la primera compañía con la que firmaría un acuerdo. Hay organismos internacionales que se dedican sólo a ciberseguridad. ¿Por qué sólo con Microsoft? Me parece que es un punto más de marketing desde mi punto de vista”, comentó.
Mustafa Al-Bassam, investigador del Departamento de Ciencias de la Computación en la University College de Londres, ha sido uno de los expertos que ha analizado a fondo las filtraciones de TheShadowBrokers. En entrevista, expresa una preocupación más: la cercanía que pudiera existir entre Microsoft y la NSA.
“Microsoft tiene un historial de colaboración con la NSA. No sabemos con exactitud la extensión de esta colaboración, pero creo que el gobierno mexicano debe estar preocupado por el hecho de que Microsoft está esencialmente bajo la legislación de Estados Unidos y de las reglas de la NSA”, dijo.
Pero no es la única tecnológica. El gobierno mexicano también ha firmado contratos marco e impulsado la adopción de soluciones como Google y Oracle, que en algún momento se han visto involucradas en los programas de espionaje de la NSA, ya sea mediante la colaboración o el aprovechamiento de las vulnerabilidades. Pero estas cuestiones no han sido condicionantes al momento de las contrataciones y convenios de colaboración.
Lo cierto es que las huellas del ciberespionaje de Estados Unidos en México se han ido destapando desde el 2013. Primero, las revelaciones de Edward Snowden sobre los programas de vigilancia de la Agencia de Seguridad Nacional (NSA) a políticos y agencias de gobierno; después el descubrimiento del malware implantado por el Grupo Equation, ligado a la NSA.
Una de las filtraciones de las herramientas de hackeo y espionaje de la NSA, reveladas por TheShadowBrokers, mostró que, en la década pasada, los hackeos tuvieron como objetivo los servidores de secretarias gubernamentales, centros de investigación y universidades mexicanas.
La falta de respuesta y reacción a este tipo de incidentes por parte del gobierno mexicano es el reflejo de una falta de capacidad en materia de ciberseguridad. Jorge Osorio, cofundador y director de Servicios de Consultoría de la firma Consultores en Seguridad de la Información (CSI), asegura que, si bien existe inversión en dependencias principalmente de seguridad nacional, lo cierto es que la falta de una revisión o investigación evidencia que en ciberseguridad “estamos en pañales”.
La divulgación de estos incidentes coincidió con el inicio de las reuniones para comenzar a delinear un proyecto que, se espera, culmine en una Estrategia Nacional de Ciberseguridad. En un comunicado, el gobierno reveló que los días 19 y 20 de abril se llevó a cabo un taller para avanzar en la definición de dicha Estrategia para nuestro país. Aunque hay voces que critican un inicio tardío de los trabajos.
En esta Estrategia se prevén desde el lograr la homologación de las policías cibernéticas del país, la definición de los mecanismos de coordinación para establecer puentes de protección y respuesta inmediata a emergencias de seguridad cibernéticas, así como los retos en materia legislativa.
“Yo creo que ya vamos diez años atrás. Es algo que sucede desde hace 12 o 13 años en otros países”, comentó Osorio.
Pero algo que no se ha contemplado es el uso de herramientas tecnológicas que sean auditables, que puedan visibilizar las vulnerabilidades de los sistemas y que no estén bajo el control de una o un grupo de empresas que a su vez se encuentran a merced de las disposiciones estadounidenses. Mustafa Al-Bassam insiste en la opción de adoptar software de código abierto.
“Lo que pueden hacer los países para evitar las puertas traseras que pudieran ser requeridas por Estados Unidos o la NSA es usar software de código abierto. No estoy diciendo que sea más seguro, pero en caso de existir una puerta trasera se puede visualizar y no está controlado por una compañía que permita la intervención. Es una oportunidad para protegerse en contra de las puertas traseras del gobierno”, comentó el experto.
(Con información de El Economista)