El Inegi quiere un proveedor que le ayude con el análisis de riesgos cibernéticos, que verifique la seguridad de sus propiedades digitales y que realice “pruebas de penetración” para evitar la vulneración de sus sistemas informáticos.
El Inegi, la oficina de estadística oficial de México se encuentra en búsqueda de un proveedor de servicios de ciberinteligencia y de hackeo ético, que deberá ofrecer inteligencia en materia de ciberseguridad y realizar autoataques a los sistemas informáticos del Inegi para comprobar su seguridad y mejorarla si es el caso.
El Inegi emitió la convocatoria de licitación en el sitio CompraNet, la herramienta oficial para licitaciones públicas, y ahí detalla sus necesidades: un proveedor con dos años de experiencia en la proveeduría de estos servicios, que cuente con certificaciones internacionales y que pueda destinar a un responsable de ciberinteligencia y otro de hackeo ético; a un arquitecto y dos analistas de ciberinteligencia, y a dos ingenieros de hackeo ético (expertos en análisis de vulnerabilidades de seguridad de la información).
El contrato, como se indica en la licitación con clave LA-040100992-E4-2021, tendrá tres años de vigencia a partir del 1 de abril de 2021 y abarcará los ejercicios fiscales 2021, 2022 y 2023.
Esta licitación “es una muestra clara del reconocimiento del Inegi de que, como entidad gubernamental, es, ha sido o puede ser blanco del creciente y complejo panorama de amenazas cibernéticas, que pueden comprometer el cumplimiento de sus obligaciones establecidas en su marco normativo”, dijo Jonathan López Torres, abogado especialista en ciberseguridad y autor del libro Ciberespacio & Ciberseguridad. Elementos esenciales (Tirant Lo Blanch, 2020).
Distintas entidades del Estado mexicano han sido blanco de ciberataques, vulneraciones de seguridad de la información y robos de datos personales y de otra información sensible. Algunos casos recientes son el ataque cibernético de 2019 a Pemex, la empresa petrolera de propiedad pública, con el que se extrajeron 180,000 archivos con información operativa de la compañía, y, un año después, el error de configuración de seguridad de bases de datos en la Secretaría de la Función Pública (SFP) que dejó expuesta información personal confidencial de 830,000 personas servidoras públicas.
De acuerdo con López Torres, la licitación del Inegi sobre servicios de ciberinteligencia y hackeo ético no es la primera en su tipo, diseñada con la intención de identificar vulnerabilidades y realizar las llamadas “pruebas de penetración”, pero “al tratarse de servicios de gran especialización, es muy común que se contraten a terceros para que se lleven a cabo”.
El servicio de ciberinteligencia, como se describe en la propuesta del Inegi, debe garantizar el análisis de “información en diferentes fuentes de Internet con el fin de identificar posibles riesgos, amenazas de posibles atacantes en materia de seguridad informática y el uso indebido de la marca Inegi, para contribuir al fortalecimiento de los controles y/o prácticas de seguridad en los diferentes servicios Institucionales expuestos a Internet”.
De acuerdo con las respuestas emitidas por el Inegi a las preguntas de proveedores interesados, documentadas en el acta de la Junta de Aclaraciones celebrada el 25 de febrero de 2021, el Inegi cuenta con 206 dominios web accesibles desde internet y con cuentas en las redes sociales YouTube, Twitter, Facebook e Instagram.
Una de las fuentes de Internet a analizar es Pastebin, un servicio social en internet que permite a sus usuarios pegar texto sin formato y que ha sido muy utilizado por ciberatacantes para compartir información robada, así como la deep web y la darknet con la intención de “identificar la venta de información confidencial del Inegi en mercados negros y abiertos” en internet, de acuerdo con el texto de la licitación.
El servicio de hackeo ético señala la licitación con clave LA-040100992-E4-2021, “consiste en la ejecución de análisis de vulnerabilidades y pruebas de penetración, que permitan identificar el estado de la seguridad en las aplicaciones (...) con el objeto de controlar y minimizar los riesgos que puedan comprometer la integridad, confidencialidad y disponibilidad de la información” en poder del Inegi.
El hackeo ético es una práctica común en las grandes corporaciones y en las empresas altamente digitalizadas, como un ejercicio de control de calidad de los sistemas informáticos embebidos en las organizaciones. Es una especie de “pruebas de estrés”, para comprobar que la tecnología es segura y reducir el riesgo de vulneraciones de seguridad de la información.
El Inegi busca identificar “malas prácticas en la configuración tales como configuraciones por defecto, manejo de errores, servicios innecesarios y otros considerados en las mejores prácticas y marcos de referencia internacionales”, un problema común entre los profesionales de las Tecnologías de la Información que trabajan con poca precaución.
El proveedor deberá ser capaz de “detectar ataques a los que sean susceptibles entre otros Cross-Site Scripting (XSS), inyección de SQL, manipulación de parámetros, inyección de comandos del sistema operativo, manejo de sesiones y otros aspectos que sean definidos por estándares internacionales”, añade la convocatoria de licitación.
Algunas compañías que han expresado interés en la licitación son Totalsec S.A. de C.V., Scitum S.A. de C.V., iQsec S.A. de C.V. y Sixsigma Networks México S.A. de C.V.
Uno de los retos de la licitación, dijo López Torres, es la obligación de que el contrato exprese de forma clara los derechos y obligaciones de ambas partes, que “permitan a la autoridad vigilar y comprobar que los servicios se ejecuten en los términos contratados y en caso de incumplimiento, que estén señalados de forma clara las penas convencionales y deductivas, con procedimientos claros y expeditos para hacerlos valer”.
El fallo de la convocatoria de licitación se dará el 12 de marzo de 2021 y se difundirá a través del sistema CompraNet, que administra la Secretaría de Hacienda, ese mismo día.
Créditos: José Soto Galindo