Ataque cibernético a Lotería Nacional en 2021, por obsolescencia de equipos y sistemas vulnerables: Auditoría

Nayeli Roldán

La Lotería Nacional (Lotenal) recibió un ataque cibernético que secuestró miles de datos en 2021, y ahora se sabe que se debió a la obsolescencia de equipos y a sus sistemas vulnerables sin actualizaciones de seguridad. Y, aún posterior a ello, los riesgos continuaron.

Esto provocó que dichas afectaciones “impidieron la operación entre 27 a 77 días de los sistemas críticos y secundarios”, reconoció la Lotenal, según informó la Auditoría Superior de la Federación en la revisión de Cumplimiento a Tecnologías de Información y Comunicaciones.

“El servidor de aplicaciones de legado que fue atacado tenía una versión vulnerable de sistema operativo, asimismo, no contaba con soluciones ni actualizaciones de seguridad (parches) por parte del fabricante”, advierte la Auditoría.

El 27 de mayo de 2021, la empresa de seguridad informática Seekurity reveló en su cuenta de Twitter que Lotenal había recibido un ataque cibernético. “El grupo de ransomware Avaddon anuncia que la Lotenal de México (Pronósticos Deportivos), es una de sus nuevas víctimas, al contar ‘con datos como contratos y convenios de 2009 a 2021, documentos legales, correspondencia, finanzas, datos notariales, outsourcing, y mucho más’”.

El ataque había ocurrido días antes, el 14 de mayo de 2021, en sus servidores virtuales que se encontraban administrados por la empresa INNOB IT GROUP, S.A. de C.V., en el contrato número 012-2021 “Servicio de un Centro de Administración Tecnológica (CAT) Empresarial”.

Sin embargo, la Auditoría no publica en su informe más investigación al respecto, como el monto del contrato, las razones de incumplimiento de seguridad, ni ninguna responsabilidad hacia la empresa. Tampoco las implicaciones de la afectación a su sistema durante 77 días, como la misma Lotenal reconoció.

Solo emitió una promoción de responsabilidad administrativa contra los funcionarios que “las irregularidades de los servidores públicos que, en su gestión, omitieron establecer y supervisar el cumplimiento de las medidas de seguridad referentes al procesamiento y salvaguarda de los activos de tecnologías de la información”.

La Auditoría también presume un probable daño o perjuicio por 4 millones 479 mil pesos, por los pagos de 352 computadoras que se venían instalando desde 2017, pese a que el contrato advertía que debían ser equipos actualizados.

El ataque consistió en un secuestro de datos (ransomware) gracias a que pudieron entrar a la cuenta institucional de dos usuarios vulnerados, posiblemente por un ataque de suplantación de identidad (phishing), en donde fueron reveladas sus credenciales para el acceso a la red privada virtual (VPN) hacia el interior de la red de la Lotería Nacional. Esto permitió “atacar un servidor de aplicaciones de legado sin actualizaciones de seguridad”, advierte la ASF.

En la revisión del caso, la Auditoría encontró que el proveedor que tenía la responsabilidad de la administración, monitoreo y alertamiento de los servidores para activar los servicios de seguridad informática, pero “no dio ningún aviso de comportamientos anómalos para tomar medidas de prevención y mitigación ante el ataque cibernético”.

Además, “los servidores afectados tenían versiones de sistemas operativos fuera del soporte del fabricante; asimismo, ninguno de los servidores contaba con soluciones para la prevención de pérdida de datos ni con actualizaciones de seguridad (parches)”.

El resultado del ataque 

El resultado del ataque fue la afectación de 44 sistemas y bases de datos, de los cuales cinco eran de criticidad alta (11.4%), 24 de criticidad media (54.5%) y 15 de criticidad baja (34.1%). Lo cual impidió la operación del organismo de 27 a 77 días.

La Auditoría también realizó una evaluación sobre la ciberseguridad posterior al ataque de mayo de 2021 y encontró vulnerabilidades entre los 20 controles de seguridad críticos (CSC) y que a su vez incluyen 149 actividades de control individuales.

Entre los hallazgos está que “no se cumple con el objeto de implementar procesos y herramientas para rastrear, controlar, prevenir y corregir el uso, la asignación y la configuración de privilegios administrativos en computadoras, redes y aplicaciones”.

Además, “no se cumple en su totalidad con el objeto de reunir, administrar y analizar registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque”.

Con información de Animal Político

Share

You may also like...