Del Metro y los ciberataques, ¿dónde están las mayores amenazas?
Los recursos son escasos y están mal asignados. ¿Cuánto dinero necesita el Metro de la Ciudad de México para mantenimiento? ¿Cuánto gastan para evitar ciberataques?
No todo tiene que ver con las corcholatas. Razones sobran para estar paranoicos sobre el nivel de riesgo que tiene nuestra infraestructura crítica. México es el país que recibe más ciberataques de América Latina, fueron 85,000 millones en el primer semestre de 2022, 40% más que en 2021. El año pasado hackearon a la Secretaría de la Defensa Nacional. Nos enteramos por los Guacamaya Leaks y en medio del escándalo algo trascendió de la incompetencia en el personal que debió blindar esa información. No fue el único gran agujero digital del año. En diciembre, la Secretaría de Infraestructura, Comunicaciones y Transportes se vio obligada a suspender trámites ante la Agencia Federal de Aviación Civil por un “incidente cibernético”.
No todos los ataques exitosos son conocidos, pero tenemos un ramillete de casos que permiten adivinar la vulnerabilidad de algunas instituciones. En 2019, hubo una incursión contra Pemex que provocó un gran agujero en el área de facturación y cobranza, (se dice que no pagó el rescate, pero perdió documentos que valían millones de pesos). En 2020 la Comisión Nacional de Seguros y Fianzas y la Secretaría de Economía fueron atacadas y se vieron obligadas a suspender trámites por varios días.
En México fueron 472 millones de ataques diarios durante el año pasado y serán más en 2023. Los criminales pueden buscar un pago a cambio de la información que comprometieron, pero también pueden tener como objetivo la disrupción de las operaciones, por el puro gusto de hacer daño. Además de las instituciones del sector público, las empresas privadas y algunos individuos relevantes aparecen como objetivos: hablamos de bancos y banqueros, empresas y empresarios, de comercio electrónico, telecomunicaciones, energía, turismo… 18% de las empresas de la industria maquiladora de exportación sufrieron ataques.
¿Qué harán los 6,000 soldados de la Guardia Nacional, si hay un ataque de Ransonware contra el Metro? Es impresionante ver militares en las estaciones del transporte suburbano. El operativo tiene claramente una dimensión teatral. Produce seguridad o miedo, dependiendo del tipo de personalidad de quien los mire. De cualquier modo, no hay que perder de vista que hay formas más eficaces de hacer daño a la infraestructura crítica que aventar latas o aspas a las vías. Esto lo saben hasta hasta los niños que ven las películas de James Bond.
Saquemos al Metro de la Ciudad de México de escena y pongamos a enfriar la fiebre corcholatera. Pensemos en toda la infraestructura crítica que podría ser atacada por cibercriminales, en toda la población que podría ser afectada en caso de que se atacaran aeropuertos, puertos, refinerías, generadoras de electricidad, plantas de agua, satélites, procesadoras de comida u hospitales, por ejemplo.
Hay una vulnerabilidad patente de gobiernos y empresas al cibercrimen. En México, el sector privado ha reaccionado con mayor rapidez ante las “nuevas” circunstancias. Las empresas pretenden tener cero riesgos y ha asignado presupuestos crecientes. Se ha preocupado por desarrollar talento humano y colocarlo en puestos estratégicos. El gobierno parece vivir en otro mundo o en otro tiempo. Es un mosaico, donde hay muchas maneras de atender este asunto (o de desatenderlo). Lo que sí es claro es que ha predominado la misma “actitud” de austeridad que en otras áreas presupuestales. En un contexto en el que los grupos ciberciminales cuentan con más recursos y “capital intelectual”. La consecuencia es que se ha incrementado el número de “Talones de Aquiles” digitales del sector público.
Hay quien piensa que la solución está en contar con una Ley de Ciberseguridad. Yo creo que es mejor no tener una ley, si esta es mala… o si no hay recursos suficientes para hacer las cosas en serio. El hecho es que los ciberataques serán cada vez más destructivos y más costosos, tanto o más que los desastres naturales. Muy pronto llegaremos a un punto en que las aseguradoras no tomarán el riesgo de “blindar” contra ciberataques, como confesaba a principios de año al Financial Times, el presidente de la mayor reaseguradora del mundo.
Todo es un asunto de asignación de recursos escasos. Si tenemos un gobierno que no quiere gastar en mantenimiento ni en ciberseguridad, ¿cuántos soldados se necesitan para evitar un accidente en el Metro… o en otro punto de infraestructura crítica?