Ciberseguridad en México: la brecha invisible del sector público
Ciberseguridad en México: la brecha invisible del sector público
La ciberseguridad hoy en día es pieza clave para empresas multinacionales, PyMEs, universidades, personas y gobierno. La privacidad de datos, la integridad de los sistemas y la seguridad en general son fundamentales para el funcionamiento correcto de cualquier servicio digital.
En los últimos meses he estado elaborando una investigación acerca de aplicaciones visibles al internet. Al analizar distintos sistemas expuestos públicamente, encontré una falta de principios esenciales de seguridad en aplicaciones web. Pude identificar algunas misconfiguraciones habituales, sin repercusiones graves en ciertos casos, pero también encontré vulnerabilidades críticas. Lo más sorprendente fue que parte de lo que hallé estaba presente en una aplicación web de una entidad gubernamental.
Cabe destacar que estas vulnerabilidades no surgieron a partir de una interacción con los sistemas, ni se realizaron intentos de manipulación, explotación o modificación de los servicios afectados. El análisis se limitó exclusivamente a la observación de información expuesta públicamente y accesible desde internet.
En este caso, los hallazgos derivan principalmente de un manejo inadecuado de información sensible o privada que, por errores de configuración o exposición indebida, quedó accesible sin las protecciones adecuadas.
En ese instante, sin dudarlo, intenté contactarme de diversas maneras con los responsables. Primero, investigué quiénes eran los encargados del proyecto (desarrolladores) e intenté explicarles mi preocupación de forma directa. Continué este intento de comunicación durante varias semanas sin éxito. Posteriormente, amplié el contacto hacia canales genéricos y áreas de tecnología del estado correspondiente. Durante meses intenté comunicar la existencia de estas vulnerabilidades críticas, sin recibir respuesta en ningún momento. Hasta el día de hoy, continúo intentando establecer comunicación con el fin de que puedan resolverlo y evitar posibles afectaciones a las personas.
Lo aún más impactante es el poco interés que parece existir en la atención de este tipo de errores críticos. Estas vulnerabilidades pueden ser detectadas por cualquier persona con acceso a internet y conocimientos básicos en seguridad. Lo alarmante es el tipo de información que estas entidades manejan, y la limitada atención, recursos y prioridad que se le da a la ciberseguridad de sus sistemas.
Es preocupante saber que entidades gubernamentales que gestionan datos tan sensibles no tengan presentes principios básicos de seguridad. El gobierno debería establecer estándares más estrictos para proteger estos derechos fundamentales, como lo es la protección de datos personales, así como implementar canales de comunicación eficaces para atender reportes de vulnerabilidades provenientes de investigadores, profesionales o cualquier persona que busque ayudar.
¿Entonces, qué se puede hacer para mejorar esto? Es necesario priorizar la ciberseguridad en los sistemas gubernamentales, pero también en empresas, incluidas las PyMEs. Hoy en día, todas las organizaciones generan, recolectan y procesan datos de una u otra manera, por lo que la protección de esa información no debería ser opcional, sino un estándar básico.
Se necesita priorizar la integridad de los sistemas que gestionan estos datos, incorporando prácticas de seguridad desde el diseño, fortaleciendo los procesos de revisión y respuesta ante reportes, y promoviendo una cultura real de prevención en lugar de reacción. Solo así será posible reducir riesgos y construir sistemas más confiables para todos los usuarios.