Lo que no se ha dicho del ciberataque al Inai en los últimos días fue primero obvio, luego público y después oficial que la plataforma de datos del Instituto Nacional de Acceso a la Información y Protección de Datos Personales (Inai) estaba teniendo serios problemas. El recién estrenado SISAI 2.0, el pasado 13 de septiembre demostró deficiencias y vulnerabilidad. Días después reconocieron que el instituto había sido víctima de un “ataque o hackeo de tipo de explotación de criptomonedas”.
¿Qué significa esto?
Primero hay que explicar que el nuevo sistema nació como un avance tecnológico para unificar y tener intercomunicadas por fin la plataforma única actual y la de los estados. Durante mucho tiempo coexistieron dos estructuras, pero no estaban del todo interconectadas entre sí.
La sorpresa se dio al paso de las horas del estreno: empezaron inconsistencias, reportes de fallas y cada vez más problemas. Los comisionados responsables de los nuevos “fierros” son Óscar Guerra y Norma Julieta del Río.
Finalmente el lunes pasado se informó oficialmente del ataque. El martes, en reunión de pleno, el comisionado Óscar Guerra aseguró que las bases de información no están en riesgo. Sin embargo, algunos análisis de empresas de ciberseguridad sobre ataques a minería de criptomonedas alertan que el malware realiza movimientos laterales en busca de comprometer la mayor cantidad de dispositivos posibles, e instala puertas “traseras” de acceso para otro tipo de incursiones maliciosas.
El Pleno del Inai aprobó suspender plazos y términos para la atención de solicitudes en los días de problemas.
Este jueves, el Inai dictaminó que todo estaba en orden, pero las fallas, en los hechos, persisten. En realidad, hay muchas cosas no dichas:
Cerca de 4 mil millones de registros están en riesgo y en manos de no sabemos quién, incluyendo datos personales.
En el INAI hay pugnas internas (casi como en cualquier organismo) que en este caso están dificultando se procese la información de manera transparente tanto dentro como hacia afuera y, por tanto, se dé solución responsable e inmediata.
Las explicaciones han variado todo el tiempo: primero, era algo normal por la migración de sistema. Luego fueron fallas de adaptación. Después, un malware para explotación de criptomonedas. Posteriormente, un malware para la denegación de servicios (Ddos). Esto ha contribuido a la confusión y a no establecer un plan de acción real.
El principal problema de este ataque es que no solo utiliza los recursos de procesamiento de los servidores víctima, se puede expandir a los demás dispositivos de la empresa o a los visitantes de un sitio web infectado.
El personal directivo interno teme por lo que esté pasando ahora mismo. Algunas de las cabezas del Inai no tienen información exacta técnica de lo que está ocurriendo.
El instituto también es responsable de la protección a los datos personales. Cualquier negligencia en el actuar del personal cibernético puede poner en riesgo su legitimidad.
Utilizar la infraestructura de una organización para la explotación de minería de dinero digital no se hace solo un día y se acaba ahí. Expertos aseguran que es un proceso que lleva largos periodos y que en algún cambio de sistema sale a flote. Es decir, el ataque pudo tener meses ahí.
Alguien, en ese tiempo, no vio o decidió no ver, la intromisión de un malware desde tiempo atrás.
No hay un proceso legal contra los responsables.
Si el Inai aceptó que hubo un problema y no hace más, es como si la autoridad registrara un atropellamiento y al final no averigua quién fue, desde qué vehículo, o qué estuvo mal en la señalización. Sin embargo si hay que estar preocupados de lo que pase.