La empresa de seguridad reveló algunos detalles de la seguridad de la dependencia mexicana.
Una noticia que dio la vuelta al mundo fue el hackeo que sufrió la empresa italiana de…bueno, de “hackeo” llamada Hacking Team . Dicha empresa ha hecho tratos con varios gobiernos en todo el mundo para conseguir equipo de espionaje, un equipo que podía tener acceso al disco duro, la webcam, el contenido de las conversaciones en whatsapp, Skype y el contenido de los mailsde cualquiera.
Como bien saben, según las filtraciones, uno de los países que más tratos tuvo con esta empresa fue México. Pues bien, ahora nuestra querida organización filtradora de información, WikiLeaks, ha difundido mails en los que Hacking Team dice que el Centro de Investigación y Seguridad Nacional (Cisen) es “demasiado estúpido” para protegerse de ataques cibernéticos.
Así es, según un correo de Alex Velasco, director de ventas de Hacking Team, afirma que el Cisen realizó lo que él llamó una práctica “suicida para la seguridad” y que sus clientes mexicanos son “demasiado estúpidos para instalar” un programa. Por todo lo anterior, según el directivo, es imposible saber si el espionaje mexicano ha sido hackeado.
Según los 400 gb que le fueron hackeados a la empresa italiana, nuestro país es su principal comprador de software…bueno, específicamente de malware para contaminar computadoras y celulares de ciudadanos que son objetivos de espionaje.
¿Y qué estupidez hicieron?
El problema con el Cisen es que, al parecer, no compraron el paquete completo que incluía el programa de espionaje, computadoras, servidores y algo muy importante: el firewall. Como varios han de saber, el firewall es un software que intenta evitar que elementos ajenos (como un hacker o un virus) accedan a las computadoras.
Los funcionarios mexicanos no quisieron pagar lo que se les pidió y comenzaron a “regatear”, a lo que la empresa respondió diciendo que podían venderles solo el software de espionaje pero sin computadoras, servidores ni firewall… y bueno, los funcionarios aceptaron.
Luego de un año se dieron cuenta de que no tenían todo lo que querían (que era el paquete entero) así que reclamaron a Hacking Team (¿?) misma que respondió que eso ya lo sabían, aunque, al final, accedieron a darles todo el equipo menos el firewall.
Hasta el 2014 el Cisen operó sin firewall, así que no podían saber si alguien los atacó o intentó hacerlo. Fue en ese año que un técnico vino a instalar por fin, el mentado firewall.
Uno de los mail filtrados de Alex Velasco dice:
“Se comenta que el CISEN va por ahí diciendo que no somos un sistema seguro y que el Hacking Team es demasiado vulnerable. Les recuerdo que los registros indican que ellos todavía no han puesto su Firewall.
Lo he dicho antes y lo estoy diciendo de nuevo. TENEMOS QUE IR A PONERLES EL FIREWALL! Sé que no es nuestro trabajo, pero mi trabajo no es simplemente sentarme y dejar que un cliente destruya nuestra reputación sólo porque son demasiado estúpidos para instalar un firewall. Tenemos que reaccionar a esto porque puede ser el bloqueo de nuestras ventas en México, un cliente infeliz, y si no detenemos esto, se extenderá a los demás países”
Luego de que uno de los empelados de Hacking Team le explica a Velasco que los funcionarios mexicanos no quisieron comprarlo y que se les entregó lo que pagaron, éste contestó:
“Ellos nos están culpando por su falta de firewall, alegando que ellos compraron un sistema completo y no se los damos. Nota: Yo no estaba allí cuando compraron su sistema. No tenía ni idea de que no tienen un servidor de seguridad, tampoco debería … Pero nosotros tenemos la culpa de todos modos. (…) Me entra el pánico sabiendo el peligro en que podrían estar y les dije que si fuera por mi detenía todas las operaciones para conseguir el firewall lo antes posible. Para que lo sucedido fue el mismo día que Obama estaba en la ciudad a unas pocas millas de distancia”
Un ingeniero de Hacking Team, Sergio Rodríguez-Solís, respondió a Velasco:
“Sé que el sistema está funcionando porque les he contestado algunas preguntas de soporte. Tienen dos hubs (no switches, hubs) conectados entre ellos.
Es un suicidio de seguridad.
“Podría ser posible incluso que hayan sido hackeados, pero quién sabe”
Y añade:
“Ningún informe sobre ataques de seguridad que venga de una organización que no puede instalar un cortafuegos debe ser de confianza “
¿Cómo ven a nuestros funcionarios? (por otro lado… bueno, no es que Hacking Team se hubiera cubierto tan bien contra los ataques de parte de otros hackers, ¿verdad?).
Fuente: CodigoEspagueti