ASF detecta irregularidades de Conagua en pago de ciberseguridad, meses antes del hackeo
Foto Internet
Sábado 04 de Noviembre de 2023 7:00 pm
+ -Los servidores de oficinas centrales, organismos de cuenca y direcciones locales de Conagua, así como del SMN, fueron hackeados el 13 de abril con el virus informático “Blackbyte”
En la segunda entrega de la Cuenta
Pública 2022, la Auditoría Superior de la Federación (ASF), detectó el pago de
28.6 millones de pesos pendientes por aclarar en la Comisión Nacional del Agua
(Conagua), por el servicio de ciberseguridad y Tecnologías de Información y
Comunicaciones (TIC).
Lo anterior hace sentido al recordar
que los servidores de oficinas centrales, organismos de cuenca y direcciones
locales de la Conagua, así como del Servicio Meteorológico Nacional (SMN),
fueron hackeados la madrugada del pasado 13 de abril, con el virus informático
denominado “Blackbyte”.
El ataque cibernético, que provocó
que la institución suspendiera los términos y plazos de los procedimientos que
realiza por tres meses, cifró todos los archivos de los últimos 15 años.
Trascendió que el responsable del
hackeo fue el grupo de origen ruso BlackByte, que exigen a sus víctimas
rescates millonarios para entregar la información que logran encriptar con el
malware.
En los resultados de la ASF, se
establece que, en materia de seguridad informática, “no se tienen elementos
para contabilizar las horas empleadas para la prestación del servicio por parte
del personal externo, por lo que no es posible asegurar el cumplimiento de los
compromisos contractuales, en consecuencia, se estiman pagos injustificados por
21,836.5 miles de pesos”.
Además “se estiman pagos
injustificados por 6,780.2 miles de pesos por las deficiencias presentadas en
la prestación del servicio de ciberseguridad, y existen deficiencias en los
controles de ciberdefensa implementados, lo cual podría afectar la
disponibilidad y continuidad de los servicios y de la información de la Conagua”.
El dictamen de la Auditoría a la
Cuenta Pública 2022 de Conagua, indica que no se presentó documentación que
acredite la verificación de la capacidad técnica del personal de soporte
asignado y en la revisión del servicio de atención y administración de
requerimientos tecnológicos celebrado con INFOTEC, se identificó que no se
cuenta con evidencia de la recepción de los entregables en archivo original y
no hay elementos para contabilizar el número de horas devengadas al final de la
ejecución de cada orden de trabajo.
“En la revisión del contrato número
CNA-GRM-044-2020 para el servicio de ciberseguridad celebrado con el proveedor
Scitum, S.A. de C.V., se observó lo siguiente: No se cuenta con el inventario
de servicios e infraestructura que debió realizar el proveedor al inicio del
servicio, por lo que no es posible acreditar que todos los activos de la
comisión fueron identificados y protegidos por los servicios del contrato; se
identificaron deficiencias en los servicios prestados por el proveedor; no
obstante, se efectuaron pagos por 4,843.0 miles de pesos”, detalló
Además, destaca, que en la revisión
de la administración y operación de los controles de ciberseguridad para la
infraestructura de hardware y software de la Conagua, no hay controles con
nivel aceptable. "6 controles (33.3 por ciento), obtuvieron un nivel que
se requiere fortalecer y 12 controles (66.7 por ciento) se determinaron con una
carencia".
