Hackean expedientes al HCG y DIF Guadalajara
Miguel Ángel Rodríguez Martínez
La semana pasada en el foro Hackers, el usuario Kazu ofreció 7.6 gigabytes que contienen archivos de datos personales y clínicos de pacientes, fotografías, teléfonos, direcciones, programas académicos, investigaciones e información de transparencia del Hospital Civil de Guadalajara (HCG) y del DIF municipal de dicha localidad.
Las autoridades del hospital, del sistema de Desarrollo Integral de la Familia y la propia presidenta municipal, reconocieron que sus sistemas tecnológicos fueron vulnerados y con apego a las normas procedieron a interponer las denuncias correspondientes, notificar a los afectados y recomendarles medidas de ciberseguridad para proteger sus datos personales.
Estos eventos destacan tres factores esenciales. El primero tiene que ver con el concepto “amenaza”, constituida por los eventos peligrosos que pueden afectar y dañar los activos de valor de las personas y e instituciones. Los actores que promueven estos actos ilícitos se caracterizan por estudiar a sus víctimas, identificar sus patrones y aprovechar las áreas de oportunidad para lograr sus objetivos.
En el caso del HCG y del DIF municipal, la amenaza está representada por el ciberdelincuente “Kazu” que logró obtener 63,000 archivos con información diversa, entre la que muy seguramente se encuentran datos sensibles y relevantes que por su propia naturaleza revisten carácter clasificado y/o reservado.
El segundo factor se refiere a las “vulnerabilidades” y que son consecuencia de: 1) Ignorar o no tener el interés por generar políticas y estrategias de dirección en materia de ciberseguridad, 2) Ignorar la planeación y gestión de la seguridad patrimonial o institucional, 3) Falta de protocolos eficaces, prácticos, funcionales y actualizados, 4) Carencia de medidas de ciberseguridad robustas y eficaces, 5) Incapacidad de los actores responsables de gestionar y operar la ciberseguridad en sus vertientes técnica y administrativa, 6) Ausencia de una cultura de prevención del riesgo,7) No invertir en la capacitación de su personal, 8) Falta de inversiones para mantener actualizada y operativa la infraestructura tecnológica, 9) No asignar el presupuesto para brindar el soporte y mantenimiento preventivo y correctivo, así como reemplazar el software y hardware que se necesitan, 10) incapacidad técnica, operativa y administrativa y 11) Ignorar la capacitación de ciberseguridad para el personal técnico, operativo, administrativo y usuarios de los sistemas tecnológicos.
Al reconocer las autoridades administrativas del HCG y DIF Guadalajara, que sus sistemas tecnológicos fueron vulnerados, están aceptando que tienen fallas, omisiones y errores en esta materia y de manera velada admiten su responsabilidad por las consecuencias que pueda tener el robo de información sensible, tanto en el ámbito interno como en los propietarios de los datos personales.
El tercer factor es el “riesgo”. Ese que se traduce en la probabilidad de que ocurra un evento peligroso como consecuencia de las vulnerabilidades que presentan los sistemas de seguridad. Aquel que se convierte en el área de oportunidad que aprovecha el cazador cuando localiza el punto débil de su presa y la ataca.
En el caso que nos concierne, hay un tiempo previo al punto de la crisis. Ese momento es el que le permitió al agente cibernético “Kazu” obtener por lo menos 63,000 archivos de dos instituciones públicas de Guadalajara, Jalisco. Lo interesante de este momento es saber si la información la obtuvo por medios virtuales o si fue con la ayuda de personas que se desenvuelven en el interior de las instituciones afectadas.
Como haya sido la modalidad del robo de la información, el impacto se centra en dos puntos: 1) En el funcionamiento técnico, operativo y administrativo del HCG y del DIF municipal, esto, a pesar del discurso oficial que argumenta que no tuvo impacto en la red institucional, en los servidores, en los sistemas clínicos, en los expedientes médicos, en la información de pacientes y en la infraestructura tecnológica crítica, 2) En los propietarios de los datos personales, que pueden verse afectados con actos de hostigamiento o extorsiones cibernéticas o con otros actos ilícitos que puede poner en riesgo su integridad física moral y psicológica.
Como conclusión, se puede señalar que hubo un robo de información en el HCG y en el DIF municipal de Guadalajara y que este, fue consecuencia de las fallas, errores y omisiones en la seguridad de los sistemas tecnológicos de ambas instituciones y que las consecuencias se pueden manifestar en el corto, mediano o largo plazo. También se puede destacar que no es el primer evento de su tipo y tampoco será el último.
El siguiente evento dependerá de que se sincronicen las condiciones de inseguridad que buscan los ciberdelincuentes y puede manifestarse en una institución de cualquiera de los tres órdenes de gobierno, en alguna empresa u organización de la sociedad civil.
La lección que tenemos que aprender es que mientras no se tenga el compromiso de atender la seguridad desde una óptica institucional, si no se planifica, si no se diseñan políticas, estrategias y protocolos, si no se trabaja con base en procesos, si no se hacen las inversiones en infraestructura tecnológica, estructura y capacitación, siempre habrá un factor de riesgo alto, una probabilidad de ocurrencia permanente y un impacto que puede ser crítico al momento de que detone la crisis del problema.
La seguridad no precisamente es barata, pero si no se invierte en la fase de prevención, cuando se tenga que hacer este gasto ante la incapacidad para reaccionar y contener las consecuencias de los eventos peligrosos, este gasto siempre será más caro.
Hagamos de la seguridad, una disciplina, una norma de conducta y un principio de observancia.
