La empresa Seekurity asegura que el gobierno cuenta con la capacidad de vigilar llamadas y mensajes de los ciudadanos, y ahora tendrá mayor acceso a datos de usuarios con su empresa de telefonía.
CFE Telecomunicaciones e Internet para Todos empezó a dar servicios móviles en México y, para acceder a ellos, los usuarios deben entregar diversos datos, entre ellos: CURP, RFC, INE, datos biométricos como huella digital y bancarios; sin embargo, el más reciente hackeo en el país por parte del grupo Guacamaya a la Secretaría de la Defensa Nacional (Sedena) pone en predicamento el resguardo de la información de los ciudadanos en manos de las dependencias de gobierno.
Las empresas de telecomunicaciones, como CFE Telecom, pueden acceder a una vasta información de los usuarios con los datos que le son proporcionados para activar una línea telefónica como: identificar con quién se habla, cuánto dura una llamada y con quién mantiene mayor comunicación; además, es posible acceder a los mensajes, incluso saber si se utiliza el número telefónico para autentificarse a algún sistema.
Para Hiriam Alejandro Camarillo, CEO de Seekurity, firma especializada en ciberseguridad, siempre existe el riesgo de una vulneración de bases de datos para las empresas, pero aumenta para el gobierno y sus dependencias, cuyo personal en muchas ocasiones “puede sacar información e incluso venderla”, además de que muchos de sus elementos en áreas de ciberseguridad no cuentan con la experiencia y capacitación para blindar la información de sus operaciones.
Desde 2020 diversas instituciones de gobierno han sido hackeadas, como Pemex, Lotería Nacional, el Instituto Mexicano del Seguro Social (IMSS), Bancomext, Secretaría de Economía y la misma Comisión Federal de Electricidad (CFE).
“Las personas que están encargadas en áreas de ciberseguridad no hacían su trabajo, y si lo hacían, lo hacían mal o no tenían experiencia. Eso provocaba que muchas veces se tuviera un incidente o que no se pudieran recuperar los sistemas y servidores de equipos. (Las dependencias de gobierno) siempre te dicen que están seguras, pero hacía dentro ya es un caso totalmente distinto”, asevera Camarillo.
Esto podría replicarse en el mecanismo de CFE Telecom para sus usuarios de telefonía e incluso para las personas que se conectan a los puntos WiFi gratuitos que instalará en hospitales, escuelas y plazas públicas, que al ser una red abierta supone riesgos de vulneración de privacidad para los ciudadanos.
La Red en Defensa de los Derechos Digitales (R3D) asegura que las redes gratuitas representan un riesgo debido a que los hackers al entrar a estos puntos wifi pueden acceder a cierta información a la red, por ejemplo, cuántos dispositivos están conectados, la dirección desde donde se conecta un usuario o los sitios que visita.
Brenda Escobar, directora ejecutiva de Política, Conectividad e Infraestructura de Telecomunicaciones, en una entrevista en junio con Expansión detalló que a diario se conectan en promedio hasta 170,000 personas a los 23,500 puntos wifi que están actualmente habilitados en las 16 alcaldías de la CDMX y utilizan la red de la empresa CFE Telecom.
Ven riesgo de espionaje
El riesgo de filtración de datos del OMV estatal no es la única preocupación que se asoma, también existe la posibilidad de que el gobierno pueda utilizar la información de sus clientes de telefonía móvil para espiarlos y no sólo de los usuarios directos, también de las personas que se conectan a través de los puntos wifi gratuitos de la compañía.
De acuerdo con el directivo de Seekurity, el gobierno ya cuenta con la capacidad de escuchar y revisar las llamadas y mensajes de cualquier persona, debido a que muchas veces tiene acceso a las antenas y a los sistemas de las empresas de telefonía.
“Ahora hablamos de una entidad gubernamental que va a recabar datos para acceder a un servicio de telefonía y, en estos términos, será más fácil para que el gobierno pueda solicitar a la CFE información de sus usuarios ya que CFE no tendrá que emitir comunicados o no tiene que decir o justificar alguna medida legal para que ellos le puedan dar acceso a otras entidades», explica.
El espionaje por parte del gobierno ha tomado relevancia por el sistema Pegasus que se ha utilizado en el país para monitorear a periodistas y activistas sociales. El caso más reciente de hackeo en México por parte del grupo Guacamaya reveló que la Sedena ha realizado espionaje a este grupo de personas.
El gobierno ha buscado crear mecanismos que le permitan acceder a los datos de los ciudadanos. El último intento fue el Padrón Nacional de Usuarios de Telefonía Móvil (Panaut), que obligaría a los 134.1 millones de usuarios que tienen actualmente una línea telefónica a proporcionar sus datos personales y biométricos para combatir las extorsiones telefónicas. Sin embargo, la Suprema Corte de Justicia de la Nación (SCJN) declaró la invalidez de todo el decreto por el que se crea el Panaut al considerar que es violatorio de los derechos humanos en términos de privacidad y protección de los datos personales.
Digitalización acelera los ciberataques
La pandemia aceleró la digitalización de las empresas, gobiernos y de los usuarios, pero ese cambio visibilizó la vulnerabilidad de entregar y almacenar datos en sistemas operativos si no se contaba con una estrategia en términos de ciberseguridad que permita proteger información digital, dispositivos y activos.
México a nivel Latinoamérica se ha convertido en una de las principales naciones en registrar intentos de ciberataques solo en el primer semestre de este año. De acuerdo con Fortinet, empresa de ciberseguridad, el país sufrió 85,000 millones de intentos de ciberataques de enero a junio de este año, lo que implica un incremento de 40% en comparación con el mismo periodo del año pasado.
“México ha sido el país más atacado de América Latina, seguido por Brasil y Colombia. México también fue el país con mayor actividad de distribución de ransomware (programa dañino que roba datos) en el periodo de enero a junio, con más de 18,000 detecciones, seguido de Colombia (17,000) y Costa Rica (14,000)”, señala el reporte de datos de intentos de Ciberataques en México 2022 realizado por Fortinet.