El 26 de enero de 2024 se anunció sobre una filtración de datos de periodistas acreditados a Presidencia en México.
Entonces, el gobierno mexicano declaró el 29 de enero, mediante el presidente López Obrador: ‘no fuimos nosotros’.
Fue el mismo presidente quien pidió que se aclarara lo sucedido en la filtración de datos de más de 300 periodistas.
El vocero presidencial, Jesús Ramírez Cuevas, sorprendió al decir que se trató de una ‘extracción ilegal de datos’ de un sistema inactivo.
Así, el gobierno ofreció una conferencia de prensa en la tarde del 29 de enero, donde participaron el vocero presidencial, la secretaria de Gobernación (Segob), Luisa María Alcalde y el subsecretario de la Segob, Arturo Medina Padilla.
También estuvo presente el coordinador de Estrategia Digital Nacional, Carlos Emiliano Calderón.
Lo primero que aclaró el vocero presidencial es que el acceso para obtener los datos se produjo desde una dirección IP España.
Según el especialista, la extracción ilegal de datos se derivó de un acceso a los registros de una persona que trabajó en Presidencia hasta 2021.
Calderón no dio detalles delmomento en el que se dio cuenta del acceso no autorizado y explicó que era un sistema de un ambiente tecnológico de pruebas.
El vocero presidencial destacó que se trataba de un sistema inactivo.
Un error de capa ocho
El vocero detalló la tecnología del firewall del gobierno (cortafuegos) y los sistemas DNS (Distributed Name System).
Así como del acceso mediante redes privadas cifradas o VPN por parte de empleados del gobierno.
Es decir, las siete capas del modelo OSI de red estaban bien protegidas.
La estrategia digital no tenía fisuras, salvo por un único detalle que la gente de tecnología conoce muy bien: un error de capa ocho.
Calderón reconoció que los datos reales de -aunque desactualizados- se mantuvieron expuestos en un sistema de pruebas, antes de ser pasado a producción.
Estos protegidos con usuario y contraseña disponibles en internet.
Así, el análisis forense determinó que la descarga de datos filtrados se hizo desde una cuenta activa de un exempleado de Palacio Nacional.
Desde una dirección IP ubicada en España.
Otro error en la estrategia
En materia de seguridad informática, existen buenas prácticas como los mecanismos de auditoria de registros, algo no mencionado en la explicación de Calderón.
Asimismo, quedó claro, sin que se diga, que hubo inexistencia del cifrado de datos a nivel registro.
Industrias como el sector financiero, usan el cifrado de registros mediante sistemas HSM (Hardware Security Module).
Esto ofrece protección en caso de que un registro sea extraído de manera ilegal.
Si alguien ‘roba’ el dato de un registro, la información estará cifrada con mecanismos cartográficos de encriptación e imposibilitará el acceso.
Legislaciones como el RGDP en la Unión Europea o la CCPA en Estados Unidos, exigen a las empresas ofuscar o enmascarar datos en sistemas de pruebas.
Lo que limita a quienes prueban los sistemas, tener acceso a información real y así proteger los datos.
La norma ISO 27001, en el punto 8.1 exige el cifrado de los datos en ambientes de pruebas como el de preproducción.
Filtración por descuido o no
Según Calderón, fue una ventana en la que los datos ya se estaban comparando y el preproductivo iba ya a quedar productivo.
El coordinador intentó explicar más en profundidad, pero condujo una mayor confusión, al decir:
“Cuando la actualización y los usuarios se empiezan a sincronizar, lleva esto un tiempo y como el sistema tenía que estar las 24 horas arriba, entonces se empiezan a hacer migraciones para que solamente se hagan un switch de urls, y quede el de preproducción como productivo”.
Entonces, se entiende como un ‘descuido’ la filtración, al afirmar que fue una ventana de tiempo, donde lograron entrar en la sincronización de los datos.
Lo cierto es que los datos expuestos fueron reales, no se enmascararon y se expusieron en un sistema de pruebas con acceso desde internet
Con la gravedad de no controlar los accesos de forma correcta, dejando una cuenta de un exempleado activa en un sistema preproductivo.
Ello, es el pecado más grande de cualquier persona que se relaciona con áreas de seguridad informática.