El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) informó que iniciará una investigación de oficio por el acceso no autorizado a las bases de datos de la Secretaría de la Defensa Nacional (Sedena), con lo que se vulneró información que debe mantenerse reservada por considerarse de seguridad nacional, así como datos personales.
PUEDES LEER: Sedena fue alertada sobre bajo nivel de seguridad antes del hackeo
La comisionada Josefina Román explicó que ya se venció el plazo que establece la ley para que la Sedena notifique a la autoridad, en este caso, el INAI, de la vulneración a sus bases de datos, por lo que el organismo comenzará en breve una investigación para conocer el tamaño del boquete que se abrió a las bases de datos de la dependencia, la dimensión y el tipo de información que fue sustraída
Román detalló que la vulneración debe entenderse desde dos puntos de vista: una parte es la información pública que agrupa la Sedena, de la que mucha corresponde a reserva por tratarse de seguridad nacional y otra parte son las obligaciones que tiene la propia Sedena como sujeto obligado de protección de datos personales, incluida la información sobre la salud del presidente, que corresponde a datos personales sensibles.
“Nosotros hemos notificado a Sedena en términos de la legislación aplicable; todo sujeto obligado, no exclusivamente Sedena, tiene un término de 72 horas para dar aviso de alguna vulneración y cuáles son las medidas de prevención que se están tomando para evitar cualquier daño, ya fue notificado, porque evidentemente han transcurrido las 72 horas y no hemos tenido este aviso oficial de vulneración y tendremos que abrir la investigación correspondiente”, dijo Román.
Dijo que en este momento el INAI desconoce el detalle de qué información pública que correspondería a seguridad nacional fue hackeada y qué información que es confidencial por ser datos personales pudo ser abierta.
Añadió que de acuerdo con la legislación en materia de protección de datos personales y la legislación pueden imponerse sanciones económicas y administrativas, en este caso, por parte del Órgano Interno de Control de la dependencia, pero pidió no adelantar vísperas y esperar la respuesta de la Sedena.
Al respecto, el comisionado Francisco Javier Acuña dio a conocer que el plazo legal para que la Sedena informara de la vulneración se venció el martes a las 8 de la mañana, por lo que el INAI podría ya iniciar la investigación de oficio.
La notificación de la Sedena tendría que dar detalles sobre lo que ocurrió y cuánta información se perdió.
“La dimensión probable del asunto es tal, tan importante, tan significativa, que ya tendríamos que iniciar en breve, vamos a dar pauta a la respuesta, pero ya, las capacidades institucionales para iniciar una investigación de oficio ya las tenemos al momento de haberse cumplido el periodo sin ese reporte”, dijo Acuña.
“Todo mundo cree o mucha gente cree que solo desde el ángulo de los datos personales está la situación, el asunto es que el compromiso evidente es mucho más grande, (pues) ninguna institución probablemente puede tener, por la naturaleza de su oficio y competencia, la capacidad de albergar más información clasificada de seguridad nacional”, añadió.
“Es un hecho inusitado, inédito… Nos causa preocupación porque el otro problema es de qué tamaño es la dimensión de la rasgadura de la protección de la seguridad nacional que seguramente guarda en sus alforjas la Sedena”, dijo.
Acuña explicó que si la Sedena no informa por su cuenta sobre la vulneración, el INAI podrá para pedir acceso a la verificación para saber qué medidas de seguridad fueron violentadas y qué tipo de bases informacionales fueron alteradas.
Hackeo a Sedena se dio solo a un correo electrónico
La Secretaría de la Defensa Nacional informó que el hackeo a su base de datos provino de una vulneración únicamente al software de su correo electrónico institucional, administrado por la Dirección General de Informática de la dependencia.
La Secretaría aseguró que la intromisión a sus sistemas “no constituye una vulneración que afecte de forma significativa los derechos patrimoniales o morales de titulares de datos personales, lo anterior debido a que es información de carácter público, por tratarse de un medio de comunicación al interior de este sujeto obligado para transmitir mensajes de contenido no clasificado”.
En un oficio dirigido a la comisionada presidenta del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Blanca Lilia Ibarra, consultado por *MILENIO*, la Sedena explicó que la alerta a la vulneración de su software se emitió el 9 de septiembre de 2022 y que inmediatamente después, se realizó un análisis forense digital para verificar lo sucedido.
“Con la evidencia obtenida mediante el resultado del análisis forense, el 30 de septiembre de 2022 se confirmó que el software del correo electrónico institucional sufrió un acceso no autorizado”, dice el oficio.
El documento aclara que “el correo electrónico institucional vulnerado no se encuentra ligado, ni enlazado a sistemas relacionados con tratamiento de datos personales, sino que únicamente es un medio que permite el intercambio de información”.
La Sedena informó al INAI que las áreas administrativas infectadas se encuentran analizando el contenido de la información vulnerada para descartar que se trate de información que pudiera ser clasificada como reservada o datos personales.
Además, el correo ya fue bloqueado y se procedió a la recolección de evidencias en coordinación con las áreas de análisis y seguridad.
“Se han realizado análisis de forencia digital para identificar las vulnerabilidades que permitieron el acceso no autorizado y reforzar las medidas de seguridad informática”, añadió la dependencia.
La Secretaría explicó que se actualizó el software del correo electrónico para establecer los “parches necesarios para mitigar amenazas similares” y que se encuentra en actualización la infraestructura del soporte del correo electrónico institucional y las políticas del marco de gestión de seguridad del correo electrónico.
La notificación de Sedena al INAI llegó este miércoles, un día después de que se venció el plazo para dar aviso sobre el incidente a la autoridad en la materia, por lo que el instituto procederá a la investigación de oficio para conocer la dimensión de la información vulnerada.