El robo de seis terabytes de información de los sistemas informáticos de la Secretaría de la Defensa Nacional (SEDENA), realizada por el grupo clandestino autodenominado Guacamaya, ha prendido las alarmas de los expertos en ciberseguridad, seguridad nacional, protección de datos personales y las autoridades del gobierno federal. Ya reconoció el presidente López Obrador que la información publicada, derivada de la sustracción, es auténtica.
La cantidad de información saqueada no tiene precedentes. Los Papeles de Pandora, habían sido el más grande robo de información y contenía 2.94 terabytes, los Papeles de Panamá 2.6 terabytes y los Paradise Papers 1.4 terabytes. En comparación, Wikileaks contenía 1.5 gigabytes. Esto es, los Guacamaya Leaks son 4,000 veces el tamaño de Wikileaks. Lo sustraído a SEDENA comprende más de 4 millones de correos con archivos adjuntos.
De acuerdo con la BBC, los documentos contienen información sobre operaciones contra la delincuencia; espionaje a personajes, entre ellos al Embajador de Estados Unidos en México; la seguridad y salud del presidente López Obrador; y las redes de corrupción de políticos, legisladores y funcionarios y sus nexos con el crimen organizado. Por lo pronto, la publicación de esta información tan sensible, continuará. Este hurto plantea varios aspectos a tomar en cuenta:
Ciberseguridad. Urge mejorar la ciberseguridad del gobierno para proteger al Estado mexicano. Algunos aspectos que llaman la atención del hurto de información son los siguientes.
Para hacer un vaciado de información de seis terabytes de manera remota, suponiendo un enlace de veinte megabits por segundo, tomaría un mes de conexión continua, en condiciones óptimas. Este es un periodo muy largo para que no se hubieran dado cuenta los sistemas de seguridad de la SEDENA.
La ciberseguridad no solo se refiere a los mecanismos informáticos de protección de las comunicaciones y las bases de datos. Incluye también los controles sobre el personal que atiende a estos sistemas tales como controles de acceso, controles de confianza y la seguridad perimetral que impida el acceso físico a los equipos informáticos a personal no autorizado, entre otros elementos.
Dadas las circunstancias del robo de la información, no habría que descartar la posibilidad de que la fuga pudo venir de personal de la institución o de prestadores de servicios con acceso a estos equipos, por ejemplo, si el servidor de correos residiera en equipos de terceros. En caso de que la sustracción hubiese sido un trabajo interno, hay que considerar que descargar toda esa información en un disco duro externo, puede tomar más de cuatro horas y media, lo cual también requeriría violar medidas de seguridad física sin despertar sospechas o bien tratarse de personal autorizado.
Secretos de Estado. Este robo de información demuestra que se requiere una Ley de Secretos de Estado, como existe en otros países, para proteger información para la seguridad nacional, estableciendo medidas de seguridad para ella y sanciones a quien la viole.
En México, la protección de información por razones de seguridad nacional se ha distorsionado. Actualmente se deja a las instituciones la interpretación de lo que debe reservarse por motivos de seguridad nacional, frecuentemente entrando en conflicto con criterios del INAI y en ocasiones favoreciendo la opacidad de información que pudiera estar asociada a actos de corrupción. Tal es el caso de contrataciones de bienes, servicios y obra pública que son reservadas por motivos de seguridad nacional, cuya revelación en realidad no la afecta.
En el sexenio pasado, el entonces titular de CONAGUA, David Korenfeld, trató de ocultar el uso que le daba al helicóptero de la institución con fines personales, con el pretexto de que su revelación afectaba a la seguridad nacional, aspecto que fue incluso respaldado incorrectamente por el INAI, pues había muy buenas razones para determinar que no era información que afectara a la seguridad nacional. Posteriormente Korenfeld fue sancionado por haber usado dicho helicóptero para su beneficio personal.
Con una Ley de Secretos de Estado se podría dar claridad a la información que se debe proteger por motivos de seguridad nacional. Sería conveniente que fuera el INAI, ya con criterios claros, quien se encargara de vigilar la aplicación de dicha Ley, como ya lo hace actualmente en la protección de datos personales.
Protección de datos personales. La información robada a la SEDENA incluye datos personales, cuya protección deberán cuidar los periodistas al publicar la información sustraída, para no afectar la privacidad de las personas expuestas, ya que incluso puede poner en riesgo su vida.
El gobierno debe tomar medidas para minimizar el daño por la información sustraída, analizar el alcance de la fuga, encontrar a los responsables para someterlos a juicio y prevenir futuros robos de información. Ojalá los legisladores también emitan una Ley que permita proteger a los secretos de Estado y evitar opacidades que, con el pretexto de tratarse de seguridad nacional, oculten posibles actos de corrupción.