La Auditoría Superior de la Federación (ASF), da a conocer tras la revisión del segundo paquete de revisión de la cuenta pública 2019, que la Secretaría de Hacienda, el Inegi, el ISSSTE y la Secretaría de Bienestar están fallando en la ciberdefensa y protección de sus sistemas de cómputo.
Estas dependencias, que manejan importantes bases de datos personales, financieros y médicos, tienen un alto grado de vulnerabilidad ante ataques informáticos, indica la revisión de la ASF a través de auditorías realizadas por separado.
La deficiente seguridad informática y ciberseguridad en el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE) pone en riesgo la información personal y médica de sus más de 13 millones de derechohabientes.
“Carece de una normativa en materia de seguridad informática y de gestión del riesgo operacional, no lleva la administración y supervisión de los dispositivos médicos que hacen uso de TIC (Tecnologías de Información y Comunicaciones), lo que es de gran relevancia ya que los hospitales dependen cada vez más de sistemas de información para una gran variedad de funciones administrativas y clínicas, por lo que se han convertido en un blanco atractivo para los cibercriminales, dado que manejan información personal, financiera y médica de sus pacientes y personal”, señala la ASF en su auditoría 2019-1-19GYN-20-0215-2020.
La ASF estableció que la inversión de 2 millones de pesos, realizada de 2016 a 2020 en centros de datos y equipo de cómputo, fue deficiente, y que el ISSSTE tiene 179 millones de pesos pendientes por aclarar en gastos relacionados con servicios informáticos.
En otra auditoría realizada a la Secretaría de Hacienda, se concluyó que la dependencia no aprovechó los servicios privados de asesoría informática que contrató, lo que pone en riesgo la información que resguarda.
“Se carece de la implementación de mecanismos robustos para la ciberdefensa de la SHCP, debido a que se identificaron deficiencias en las estrategias, políticas, procedimientos y controles establecidos para la infraestructura de hardware y software del Instituto relacionados con esta materia”, establece la ASF en su informe.
Adicional a lo anterior, se revelan pagos injustificados de Hacienda por 890 mil pesos derivados del incumplimiento de uno de sus proveedores de servicios informáticos.
En el Instituto Nacional de Estadística, Geografía e Informática (Inegi), se encontró que hay deficiencias en la administración y operación de los controles de ciberseguridad, así como una falta de lineamientos relacionados con la atención de incidentes en dispositivos e inconsistencias presupuestales en materia informática.
La Secretaría del Bienestar tampoco realizó acciones suficientes para asegurar la continuidad de sus servicios de tecnologías de información y comunicaciones. La ASF descubrió que la mala gestión en esta materia podría poner en riesgo la confidencialidad, integridad y disponibilidad de la información de los beneficiarios de programas sociales.
“Se detectaron irregularidades en las políticas y procedimientos relacionadas con la ciberseguridad, debido a las deficiencias en los controles del inventario de software autorizado y no autorizado; configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores; uso controlado de privilegios administrativos; protección de datos; carencia de un programa de concientización y entrenamiento de seguridad; seguridad del software de aplicación; plan de respuesta a incidentes, así como la falta de pruebas de penetración y ejercicios de equipo rojo”, precisa la ASF.
En su auditoría a la Secretaría de Hacienda, la ASF encontró irregularidades en dos contratos con Mainbit, empresa con múltiples antecedentes de incumplimientos e inhabilitaciones, pero que ha recibido adjudicaciones directas en el gobierno de Andrés Manuel López Obrador.
La Auditoría Superior de la Federación revisó los contratos 305-ADN-41-237/2016 y ADN-41-075/2019 entregados a Mainbit para ofrecer el arrendamiento de equipo de cómputo.
El órgano fiscalizador precisa que la empresa entregó equipos que presentan características diferentes a las establecidas en los contratos, por lo cual Hacienda realizó pagos improcedentes por 166 mil pesos. Además, las computadoras habían superado su tiempo de vida y no contaban con una garantía vigente.
En los siete señalamientos que la ASF hace a los contratos con Mainbit se advierte que la Secretaría de Hacienda no aplicó las medidas suficientes para evitar posibles actos de corrupción en estos procedimientos.
“La Secretaría no señaló las medidas que se tomaron para evitar que durante el procedimiento de adjudicación directa los servidores públicos que intervinieron se aprovecharan de su cargo para favorecer a algún participante”, establece la auditoría.