Si hackearon al sistema financiero, ¿qué riesgo tiene el INE?
Tras el hackeo que sufrió el sistema de transferencias electrónicas de Banxico, SPEI, en mayo pasado, las dudas en torno a la ciberseguridad de otros sistemas críticos del país se ha hecho notar.
Si el sistema financiero mexicano fue víctima de un hackeo millonario, ¿qué riesgo corren los sistemas del Instituto Nacional Electoral (INE)?
Analistas consultados por Expansión coinciden que dado algunos eventos perpetrados por cibercriminales en otras elecciones, la posibilidad de que ocurra en México es amplia y concluyeron que los hackeos con potencial de vulnerar a los sistemas del INE son dos: acciones de denegación de servicio (DDoS) o ataques dirigidos a intervenir al instituto desde adentro y manipulación de información en redes sociales.
En cuanto a las intervenciones, Israel Reyes, presidente y fundador de Embrace Technologies –firma que llevó a cabo el análisis de riesgo cibernético al INE– dijo que es un escenario probable.
“Nuestro estudio para el INE fue internacional y de múltiples variables, después de los resultados yo te podría decir que sí hay un alto riesgo de intervención. Sería ingenuo pensar que les ha pasado a todos menos a nosotros”, dijo Reyes en entrevista con Expansión.
null“El tipo de intervenciones que veo son en el mismo modus operandi que las ocurridas en Francia, en España y en Inglaterra con el Brexit. Este modo de intervenciones es muy constante y van desde la intervención cibernética en los sistemas electrónicos, hasta la intervención en redes sociales a través de VPN’s, fake news, bots, identidades falsas que se infiltran en las redes sociales para tergiversar, diseminar o manipular noticias falsas”, complementó el analista.
Recomendamos: El padre del SPEI habla de su creación
En este panorama, México estaría de cara a situaciones como los casos de intervención rusa en las elecciones estadounidenses o la aparición de cuentas falsas que manipularon información, en volúmen, en redes sociales como Facebook y Twitter en las últimas elecciones presidenciales en Francia.
La empresa que Reyes dirige fue la encargada de realizar los análisis de riesgo de ciberseguridad, nacional e internacional, de los sistemas del INE con el objetivo de proteger la infraestructura informática del instituto, durante el día de la jornada electoral el primero de julio y de forma posterior.
Embrace Tech, que trabaja con expertos de Harvard y MIT, realizó estos análisis de riesgo entre diciembre y marzo de 2018, de acuerdo con el convenio de colaboración que se estableció entre el INE y el Instituto Politécnico Nacional (IPN) en diciembre de 2017.
Además de que, de acuerdo con Reyes, existe un alto riesgo de ser hackeado en una jornada electoral dado el contexto internacional, el analista destacó que durante el análisis al INE se vieron focos de alerta que elevan el riesgo, por ejemplo, se tuvo que homologar los protocolos en los sistemas de seguridad a estándares internacionales.
“Los alineamos a estándares internacionales como el ISO 22702, 22313, 22317 y 22318”, dijo.
Lee también: Caso SPEI, cronología del hackeo al sistema financiero
Reyes dijo que no podía compartir detalles sobre qué sistemas del INE son los que corren mayor riesgo, pero agregó que otro de los focos de alerta fue la operación de Cambridge Analytica en redes sociales en el país.
“Nosotros sí detectamos la escucha social como un riesgo. Sí detectamos a Cambridge Analytica usando información demográfica, geográfica y psicográfica. Lo identificamos en enero que supimos del uso y manipulación de las redes sociales, los bots los pusimos en reportes”, confirmó.
El directivo de Embrace Technologies añadió que el hackeo a Banxico disparó también los focos rojos ante un ciberataque sofisticado en los sistemas críticos del país, aunque, dijo que este evento no puede correlacionarse directamente aún con riesgos electorales.
“El ataque a Banxico también es una gran preocupación pues vimos que pasó en el modus operandi de intervención cibernética que habíamos nosotros detectado como un posible riesgo en el sistema electoral (...) El protocolo de reacción inmediata ay de respuesta de incidentes tardó mucho y estamos hablando del sector financiero”, dijo.
Lee también: Fake news podrían atraer ciberataques electorales
Ante esto, Lorenzo Córdova, titular del INE dijo en conferencia en abril, que sus sistemas están protegidos y que a pesar de que mensualmente reciben miles de intentos de ataques, estos no son exitosos.
El INE especificó que la protección de sus sistemas correrá a cargo de la firma, Scitum, después de que en abril, el IPN canceló el contrato que tenía con el INE en el que participaba Embrace Technologies.
Expansión buscó al INE, y al momento de publicar esta nota aún no tenía respuesta para atender el tema; de la misma forma se buscó a Scitum para que explicaran la estrategia que actualmente siguen para proteger al INE; sin embargo, declinaron comentar para esta publicación.
Scitum es una empresa dedicada a gestión de ciberseguridad, propiedad de Carlos Slim.
¿Y si se cae el sistema?
Otro de los tipo de hackeos que los analistas consideran pudiera ocurrir durante la jornada electoral del primero de julio son los ataques de denegación de servicio (DDoS).
Javier Luna, director de ingeniería de la firma de consultoría en ciberseguridad Optimiti Network, estimó que la probabilidad de que estos ataques sucedan es de 75%.
El especialista explicó que este tipo de ciberataques se refieren, en específico, a lo que se llama ataques volumétricos, los cuales consisten en conducir una enorme cantidad de tráfico hacia un mismo portal para tratar de “tirar la página” y que los usuarios no puedan ingresar a esta.
Luna explicó que en este caso el blanco para el ataque serían los sitios en los que se despliegan los resultados en tiempo real del PREP; pues aunque el DDoS no altera la cuenta de los votos, el hecho de que la gente no pueda ingresar a ver los resultados en tiempo real generaría un daño de imagen.
“Pensemos en el famoso se cayó el sistema; se puede pensar en un posible amaño de los votos, dado que el portal no está disponible. La credibilidad sobre el sistema electoral sería la principal consecuencia aunque este tipo de ataques no altere en sí el conteo”, dijo en entrevista.
Durante las elecciones de 2006, el entonces IFE, registró ataques como estos y recientemente el INE compartió que tenían un registro de 500,000 intentos de ciberataques DDoS al mes a sus sistemas, aunque ninguno ha sido exitoso al momento.
Luna explicó que el ataque volumétrico con mayor densidad que se ha registrado fue en 2017, cuando por horas se cayeron los servidores del proveedor de servicios Dyn, a través del cual funcionan servicios como Netflix.
El ataque a Dyn tuvo un flujo de tráfico de 1.2 terabits, según datos presentados por el mismo Dyn en 2017 tras el ataque. Luna detalló que, en México, los enlaces de empresas o de instituciones federales que más tráfico aguantan son de 2 GB.
Si bien es imposible asegurar o negar que pueda ocurrir un ciberataque que afecte el entorno electoral el próximo primero de julio, los analistas coinciden en que aunque en México se ha invertido en generar un mejor sistema de ciberseguridad, este aún está por debajo del promedio de preparación y respuesta ante un ciberataque, según estudios de la Organización de Estados Americanos (OEA), pues las políticas de acción en este tema así como la aplicación rápida y certera de mecanismos de respuesta ante una crisis tecnológica aún toman más tiempo del debido.