El día de hoy se cumple el plazo. La Consejería Jurídica del Ejecutivo Federal (CJEF) tiene que decidir si paga el rescate por la información que le fue robada, o permite que la misma sea vendida al mejor postor, o bien, liberada en las redes para el conocimiento público.
El pasado 19 de noviembre, El grupo de cibercriminales RansomHub informó a la consejería jurídica de la presidencia que había secuestrado 313 Gygabytes de información pidiendo por la misma un cuantioso rescate con fecha límite del 25 de Noviembre, o bien que la misma sería vendida en foros de la red oscura o Darkweb.
Pero, quién es RansomHub y cómo llegó a hackear a la consejería jurídica?. En 2024 el grupo de cibercriminales ya realizó otros dos ataques de alto perfil en México; en octubre, al Grupo Aeroportuario Centro Norte (OMA) y en agosto a la UNAM. El modus operandi de este grupo es relativamente estándar, en primera instancia obtienen un acceso a la información de sus víctimas, el cual puede entregarse por una extorsión a funcionarios internos o por negligencia de los mismos; una vez teniendo ese acceso, se extienden por toda la red de las víctimas obteniendo así la información deseada, la encriptan y en ese momento es cuando la informan a sus víctimas; por último, esta información se pone en el mercado negro del ciber crimen llamado DarkWeb, donde usualmente se subasta al mejor postor o bien se libera para el conocimiento público.
Es muy preocupante que una vez más el Estado Mexicano haya sido atacado en lo más profundo de sus datos sensibles; entre varios penosos hackeos (como PEMEX, Sectur, SEDENA, Secretaría de Economía, y un largo etcetera) no podemos dejar de mencionar los Guacamaya Leaks de septiembre 2022, los cuales a la fecha siguen siendo el robo de datos más grande del que se tiene registro en la historia de ataques a gobiernos en el mundo; 6 Terabytes. En esta ocasión se robaron 313 Gygabytes, los cuales equivalen a una cantidad de entre 1 y 6.5 millones de documentos, sin embargo, no se puede minimizar la gravedad de qué la Presidencia de la República sea hackeada y que todos los documentos jurídicos que han pasado por ella tal vez en los últimos seis o siete años hayan sido robados.
Ransomhub es de origen ruso, sin embargo, la forma como operan a nivel mundial es a través de asociarse con un afiliado local, quien obtiene el acceso a la víctima y su información. Posteriormente el grupo Ransomhub es quien la encripta y se encarga de venderla en el mercado, para finalmente repartir el botín entre ambas partes. Será muy interesante conocer con el tiempo -si el gobierno hace la información pública porque ya no existirá INAI para pedirla- quien fué el grupo local que logró -una vez más- hackear la Presidencia de la República y robarle todos sus datos y ahora la está intentando extorsionar.
El presente caso pone de manifiesto una serie de dilemas que este fin de semana, y en los últimos seis días tuvo que enfrentar la Presidencia de la República.
Los dilemas de Claudia Sheinbaum:
- Pagar o no Pagar- la recomendación de cualquier experto en ciberseguridad, para casos como éste, normalmente es no pagar ya que las garantías de qué el grupo criminal devuelva la información de manera íntegra, y además no la venda, distribuya o utilice en un futuro son, como el grupo que la robó, de muy poca confianza. Las estadísticas globales segun el Cyberthreat Defense Report de 2024 dicen que 49% de las víctimas pagaron rescate en los últimos 12 meses, y de las que pagaron, solo el 56% logró recuperar sus datos (esto es, 27 de cada 100 atacadas pagan y recuperan datos; 73 no) en este caso en particular, además la agravante es mucho mayor porque a quien se le está tratando de cobrar es al Estado Mexicano quién lo pagaría con los impuestos de los ciudadanos.
- Negociar o no Negociar - Presidencia prometió dar una postura de este caso el pasado jueves 21 en la mañanera; no sucedió. Tampoco sucedió el viernes 22 y esta mañana los ciudadanos merecemos y tendremos que saber exactamente qué fue lo que pasó. El gobierno federal negoció con extorsionadores?, negociación directa o en lo oscurito?, existirá algún tipo de contacto con los atacantes? Ojalá un día conozcamos la verdad.
- Administrar la crisis que puede venir. En caso de difundirse públicamente la información, encriptada o robada, es probable que la Presidenta enfrente su primera crisis de información, ya que todos los contratos, convenios, amparos y similares que pasaron por la consejería jurídica pudieron haber sido robados y serán difundidos tema que por lo menos afecta de forma importante la seguridad nacional, y muy posiblemente la institución presidencial.
- La austeridad republicana o la seguridad nacional. Una de las grandes herencias que tiene hoy La Presidenta Sheinbaum es precisamente operar un gobierno austero, el cual está probando tener serias oportunidades en muchas de sus áreas críticas como la seguridad. Continuará con esa línea?, o bien tomará con mucho más seriedad los asuntos de seguridad nacional para proteger a los ciudadanos.
En momentos tan críticos para el gobierno de nuestro país, donde temas de seguridad son altamente cuestionados, al igual que la legalidad con la que se han ejercido los proyectos estratégicos de la presidencia anterior, la transparencia que está en franca caída, y el dominante poder que tiene hoy el partido en el gobierno claramente ponen en tela de juicio lo que pueda suceder de ser difundida la información que deteriore a esta administración.
Para un gobierno cuya promesa fue no cambiarle una coma a lo que hizo el gobierno anterior y construir “el segundo piso de la cuarta transformación”, se antoja muy difícil enfrentar esta crisis cuando lo que se va a poner en duda es precisamente la transformación misma y los cimientos que la crearon. El 2do piso se puede derrumbar.
Como alerta, nos tenemos que quedar una vez más con la gran lección de qué la seguridad nacional no puede y no debe ser tratada con austeridad republicana. Transparencia, garantía de un ejercicio eficiente de los recursos y suficiencia en los mismos es necesaria para que todos y cada uno de los mexicanos nos sintamos seguros.
Hoy será un día importante para entender como la nueva administración en México va a manejar su relación con el cibercrimen, su relación con la transparencia y su administración de una crisis de información.
Manuel Rivera (manuel@nektgroup.com @mriveraraba) es CEO y Socio fundador de NEKT, empresa especializada en servicios de ciberseguridad. www.nektcyber.com
