57 clonaciones de tarjetas por valor de medio millón de pesos. Este fue el balance final del director general de Banco del Ahorro Nacional y Servicios Financieros (Bansefi), Virgilio Andrade Martínez, quien denunció los casos de robo del dinero a los damnificados del sismo en estados como Oaxaca y Chiapas. Después de los dos terremotos que azotaron varias regiones del país el 7 y el 19 de septiembre, el Gobierno habilitó unas tarjetas de crédito con recursos del Fondo de Desastres Naturales (Fonden) para apoyar económicamente a las personas que sufrieron las consecuencias de los terremotos.

Esta ayuda se vio afectada en algunos casos por la clonación de las tarjetas y el robo del dinero, el cual fue reembolsado a las víctimas. Sin embargo, estos incidentes pusieron de relieve la vulnerabilidad de algunos sistemas, los cuales fueron blanco de hackeos. Poco después de que Bansefi presentara la denuncia, la Secretaría de Cultura de la Ciudad de México sufrió el robo de cinco millones de pesos por un hackeo electrónico, el cual está siendo investigado por las autoridades capitalinas.

"Fue un hackeo a un sistema que tiene que revisarse, ser más fuerte, dadas las transacciones electrónicas", reconoció el jefe de Gobierno de la capital mexicana, Miguel Ángel Mancera.

Estos retos son uno de los puntos clave de organizaciones como International Institute of Cyber Security (IICS), quienes buscan analizar e informar sobre el panorama de los ataques cibernéticos, así como proporcionar talleres y capacitación para evitarlos. Salvador German Ruiz Camacho, experto en hacking ético de IICS, afirmó en entrevista con Hipertextual que la seguridad cibernética se ha convertido en uno de los grandes desafíos para los gobiernos y el mundo corporativo. "La ciberdelincuencia ha aumentado exponencialmente en todo el mundo aunque el nivel de compromiso es muy bajo. El 45% de las empresas en México genera una estrategia de seguridad robusta y solo el 40% hace evaluaciones regulares de seguridad".

Estas estrategias suelen realizarse a través de un proveedor de seguridad, el cual es contratado por la compañía para que se implementen medidas. Además de contar con ayuda externa, el experto aconseja que se lleven a cabo capacitaciones a los empleados en el área de ciberseguridad, para que tengan nociones de cuáles pueden ser los peligros que afrontan ante una posible falla o amenaza de seguridad.

"Los sistemas informáticos no son vulnerables pero cuando hay personas detrás de éstos hay vulnerabilidad y fuga de información. Nadie está seguro mientras haya personas no capacitadas en ciberseguridad", destacó Ruiz Camacho. Los hackers utilizan en varias ocasiones a los trabajadores para conseguir información que posteriormente les permite entrar en el sistema de las empresas u organizaciones. Según el experto en hacking ético de IICS, los ciberdelincuentes usan la ingeniería social para meter miedo o amenazar a los empleados, quienes acaban siendo los causantes de un robo de información o de cualquier otro tipo delito cibernético. Por ello, Ruiz Camacho subraya la necesidad de capacitar a los empleados, para que puedan saber a qué se exponen y cómo hacer frente a las posibles amenazas.

Según los expertos del Instituto Internacional de Seguridad Cibernética, esto fue precisamente lo que provocó la clonación de las tarjetas para los damnificados del sismo. "Alguien tenía la base de datos de las tarjetas y filtró la información. Es un ataque interno de la organización con el que se obtuvieron datos confidenciales que el propio Gobierno maneja", explicó el experto, quien añadió:

> No es tan fácil entrar a estos servidores, pero si alguien está dentro y tiene acceso es fácil hackearlo con ingeniería social.

Después de que salieran a la luz las clonaciones a casi 60 tarjetas con recursos del Fonden, un funcionario afirmó que se incluiría el uso del chip en lugar de la banda magnética en los plásticos que se entreguen a los damnificados del terremoto. Estos candados adicionales pueden ponérselo más difícil a los delincuentes pero si tienen acceso al sistema, el chip no evitaría el robo.

El método que podrían haber utilizado para el robo de las tarjetas podría haber sido el mismo para el hackeo electrónico a la Secretaría de Cultura de la Ciudad de México. "Si una persona interna ha accedido [al sistema], los ciberdelincuentes vieron que era fácil aplicar el mismo método en otras entidades com el área de cultura. Interceptan los datos, mandan un correo con un link y en el momento que se le da click se toma el control de la computadora", sostuvo Salvador German Ruiz Camacho en entrevista con Hipertextual.

International Institute of Cyber Security pone de relieve la importancia de las capacitaciones a los empleados para que sepan a qué riesgos se exponen y puedan ser menos vulnerables a las tácticas de los ciberdelincuentes para conseguir información.

Los fraudes cibernéticos son imparables en México

Por otro lado, las compañías deben invertir cada vez más en evitar los hackeos. Además de tomar medidas internas como las capacitaciones, las empresas proveedoras de seguridad deben tener una gran presencia en las compañías tanto públicas como privadas. El reto no solamente consiste en destinar los recursos, sino en concientizar a la población de la urgencia de estas medidas.

La IICS arrojó que a nivel internacional las empresas destinan entre el 12 y el 24% del presupuesto a temas tecnológicos, del cual entre el 7 y el 11% está dedicado a la ciberseguridad. En México, el 8% del presupuesto de las compañías está centrado en temas tecnológicos, mientras que entre el 5 y el 8% está dedicado a mantener la seguridad cibernéticas de las empresas.

Los ataques siguen aumentando cada vez más en el país y, más allá de las empresas, el gobierno tanto a nivel federal como estatal debe ponerse a la vanguardia para evitar unos hackeos que, según Ruiz Camacho, son bastante comunes en las diferentes entidades. Además de poner en riesgo la seguridad de un país, también corren peligro mucho de los recursos públicos que se destinan a personas como los damnificados después de los dos terremotos que azotaron varios estados de la República.

El Gobierno debería, por lo tanto, tomar medidas ante unos ataques de los que ellos mismos están acusados por parte de periodistas y activistas. El malware Pegasus ha estado en el punto de mira por presuntamente acceder a los teléfonos celulares de varias periodistas como Carmen Aristegui, abogados como los del caso Ayotzinapa o políticos del Partido de Acción Nacional (PAN). El software espía fue comprado por el Gobierno mexicano, aunque el presidente Enrique Peña Nieto sigue sosteniendo que no ha sido utilizado para espiar a personas a través de ataques cibernéticos.

Pegasus y ciberataques contra los periodistas en México