La Secretaría de la Defensa Nacional (Sedena) no es la única dependencia federal en la que la Auditoría Superior de la Federación (ASF) ha detectado problemas y vulnerabilidades relacionadas con sus sistemas informáticos.

El viernes, el presidente Andrés Manuel López Obrador confirmó que hubo un ataque a la seguridad informática de la Sedena, tras el que fueron dados a conocer documentos confidenciales sobre su salud, entre otros temas. La ASF ya había advertido en 2021 que el Ejército tenía carencias en sus sistemas de control y ciberseguridad, así como en su centro de datos principal.

Uno de los casos más graves es el de la Guardia Nacional (GN), que para la ASF no cumplió en 2021 con las disposiciones legales en materias como gestión de riesgos, gobernanza y contrataciones relacionadas con las tecnologías de la información y la comunicación (TIC).

El Senado, la Fiscalía General de la República (FGR), la Secretaría de Relaciones Exteriores, la Lotería Nacional, el Banco del Bienestar, Caminos y Puentes Federales (Capufe) y la Secretaría de Salud (Ssa) también incurren en irregularidades como contratación de proveedores sin capacidad, arrendamiento y compra de equipos obsoletos, falta de control en materia de ciberseguridad.

En la FGR, una auditoría correspondiente a la revisión de la cuenta pública 2019 encontró que se tienen deficiencias en la implementación y mejora continua del Sistema de Gestión de Seguridad Informática, que no se cuenta con programas de concientización al personal en materia de seguridad de la información; se carece de políticas para la gestión de contraseñas y no hay un plan de gestión de incidentes de ciberseguridad para responder ante ataques cibernéticos, entre otros problemas.

En un dictamen emitido en febrero pasado, la Auditoría Superior señala que fiscalizó la gestión financiera de las contrataciones relacionadas con las TIC en la Guardia Nacional, su adecuada gobernanza, administración de riesgos y seguridad de la información, entre otros aspectos, y que tras la revisión encontró que este cuerpo de seguridad no cumplió con las disposiciones legales y normativas aplicables en la materia.

Otra dependencia que obtuvo un dictamen similar cuando se revisaron sus contrataciones relacionadas con TIC fue la Ssa, donde luego de una auditoría, la ASF determinó el año pasado que no cumplió con la normatividad.

Un caso notable es el de Capufe, cuyos sistemas de ciberseguridad fueron evaluados por la ASF en 2021 a partir de 20 criterios. Y sólo en dos la dependencia obtuvo una calificación aceptable, mientras en 11 el resultado fue carencia de control.

No escatimar presupuesto en la materia, pide el INAI

Por otra parte, de acuerdo con el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), es indispensable que no se escatime presupuesto en materia de seguridad informática, pues varias dependencias federales han sufrido ciberataques.

Entre ellas están la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros, el Servicio de Administración Tributaria, el Banco de México, Petróleos Mexicanos, la Secretaría de Economía, la Secretaría de la Función Pública y el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado, han sufrido ciberataques, de acuerdo con el INAI.