En la segunda entrega de la Cuenta Pública 2022, la Auditoría Superior de la Federación (ASF), detectó el pago de 28.6 millones de pesos pendientes por aclarar en la Comisión Nacional del Agua (Conagua), por el servicio de ciberseguridad y Tecnologías de Información y Comunicaciones (TIC).
Lo anterior hace sentido al recordar que los servidores de oficinas centrales, organismos de cuenca y direcciones locales de la Conagua, así como del Servicio Meteorológico Nacional (SMN), fueron hackeados la madrugada del pasado 13 de abril, con el virus informático denominado “Blackbyte”.
El ataque cibernético, que provocó que la institución suspendiera los términos y plazos de los procedimientos que realiza por tres meses, cifró todos los archivos de los últimos 15 años.
Trascendió que el responsable del hackeo fue el grupo de origen ruso BlackByte, que exigen a sus víctimas rescates millonarios para entregar la información que logran encriptar con el malware.
En los resultados de la ASF, se establece que, en materia de seguridad informática, “no se tienen elementos para contabilizar las horas empleadas para la prestación del servicio por parte del personal externo, por lo que no es posible asegurar el cumplimiento de los compromisos contractuales, en consecuencia, se estiman pagos injustificados por 21,836.5 miles de pesos”.
Además “se estiman pagos injustificados por 6,780.2 miles de pesos por las deficiencias presentadas en la prestación del servicio de ciberseguridad, y existen deficiencias en los controles de ciberdefensa implementados, lo cual podría afectar la disponibilidad y continuidad de los servicios y de la información de la Conagua”.
El dictamen de la Auditoría a la Cuenta Pública 2022 de Conagua, indica que no se presentó documentación que acredite la verificación de la capacidad técnica del personal de soporte asignado y en la revisión del servicio de atención y administración de requerimientos tecnológicos celebrado con INFOTEC, se identificó que no se cuenta con evidencia de la recepción de los entregables en archivo original y no hay elementos para contabilizar el número de horas devengadas al final de la ejecución de cada orden de trabajo.
“En la revisión del contrato número CNA-GRM-044-2020 para el servicio de ciberseguridad celebrado con el proveedor Scitum, S.A. de C.V., se observó lo siguiente: No se cuenta con el inventario de servicios e infraestructura que debió realizar el proveedor al inicio del servicio, por lo que no es posible acreditar que todos los activos de la comisión fueron identificados y protegidos por los servicios del contrato; se identificaron deficiencias en los servicios prestados por el proveedor; no obstante, se efectuaron pagos por 4,843.0 miles de pesos”, detalló
Además, destaca, que en la revisión de la administración y operación de los controles de ciberseguridad para la infraestructura de hardware y software de la Conagua, no hay controles con nivel aceptable. “6 controles (33.3 por ciento), obtuvieron un nivel que se requiere fortalecer y 12 controles (66.7 por ciento) se determinaron con una carencia”.