De ciberseguridad

Hemos sabido de dos cibersecuestros en el sector público mexicano, uno a PEMEX, el otro a la Lotería Nacional, LN.

Del primero se ha ocultado la situación con una pretensión que todo está en orden; pero, una vez que se vulnera la seguridad en cualquiera de sus formas así se queda, vulnerada, a menos que se hagan cambios radicales.

La cosa no es simple, ya que los cambios pueden ser detectados por quienes ejecutaron el cibersecuestro para actuar a fin de conservar los accesos.

La misma estrategia se ha seguido en la LN: fingir demencia con presunción de que todo está en orden.

Incluso, en la homilía diaria desde Palacio Nacional, la directora de la LN aseguró que no había problema puesto que toda la información era publica desde antes que fuera vulnerada la ciberseguridad.

Falsear información de manera premeditada, aunque sea con ignorancia, no deja de ser mentira.

Veamos, entre otras cosas la LN es un tercero, como toda institución pública o privada, en posesión de datos personales, algunos de los cuales pueden ser sensibles.

Por supuesto que un cibersecuestro hace vulnerables las finanzas y contratos de la institución afectada; situación que incluso podría resultar en responsabilidad por los daños monetarios y a su quehacer.

Pero, además, hay otros aspectos.

Por simplicidad pensemos en la nómina, ahí hay nombres, información financiera, como el salario y cuenta bancaria para transferencias, domicilio, edad, condición civil, fotografía del rostro u alguno otro, de esos que se piden y se poseen por terceros con la mayor ligereza y descuido.

Además de la nómina, ¿la LN tiene datos personales de quienes hayan ganado premios?, como, por ejemplo, nombre, forma de pago del premio ganado, si fue por cheque se cobró o se depositó a cuenta alguna, etcétera.

Otra, si los datos cibersecuestrados se usaren para suplantación o robo de identidad, ¿habría responsabilidad del tercero en posesión de estos?

Cuando la ciberseguridad de una institución se vulnera, las y los llamados hackers pueden tener acceso a cualquier información, comunicación personal y demás datos en la base informática cibersecuestrada.

¿Acaso usted puede creer que en un cibersecuestro los y las hackers piensen “estos datos no los tomaremos porque son personales”?

¡En qué cabeza cabe!.

Ahora bien, el manejo de los datos personales, sensibles o no, recae en el tercero que los posee, pero son de las personas que de buena fe se los confía, el incumplimiento en el manejo también se da al operar con esquemas vulnerables, cibernéticos o no.

Una figura autónoma debe ser incluida en la administración pública o privada: Oficiales de cumplimiento normativo.

Para el caso de ciberseguridad esa figura autónoma debe incluir, al menos, dos perfiles: un oficial legal y uno científico-tecnológico.

Aquí es donde entra la Ciencia, Tecnología e Innovación, CTI.

Un estudio formal en CTI permitiría valorar los puntos vulnerables, ya que el acceso pudo haber sido mediante las claves de correos electrónicos, los protocolos informáticos o el equipo de cómputo que se usa para el manejo de datos.

Se sabe que el tiempo que se requiere para vulnerar claves de acceso cambia cuando los protocolos de seguridad incluyen sólo números, letras mayúsculas o minúsculas y símbolos, así como con la longitud de la cadena.

De la misma manera, la encriptación debe ser avanzada, para que, en caso de ciberataques por hackers la información se encuentre debidamente protegida.

Ello se podría vigilar y acreditar mediante una oficina autónoma de cumplimiento normativo.

La ciberseguridad no se garantiza al fingir que no ha pasado nada y todo está en orden.

Decir que sólo información de carácter público está en posesión de las o los hackers es mentir de manera deliberada o engañarse a sí mismo por ignorancia.

La ciberseguridad es frágil en los tres niveles de gobierno, los tres poderes y sus dependencias; hacer la vista gorda es irresponsable.

La CTI y sus profesionales pueden robustecer la ciberseguridad en lo público y privado.