La Sedena reconoció una vulneración a su sistema de correo electrónico, según un oficio enviado por la secretaría al Inai, en el que también afirma que el sistema vulnerado no está ligado a sistemas de tratamiento de datos personales
Para la Unidad de Transparencia de la Secretaría de la Defensa Nacional (Sedena), la información extraída mediante el hackeo del grupo Guacamaya a sus sistemas es de carácter público, ya que se trata de mensajes no clasificados que se transmitieron por un medio de comunicación al interior de la dependencia, de acuerdo con una notificación enviada por la secretaría a la autoridad garante de la protección de datos personales, el Inai.
En el oficio número AC/T25, enviado por el general de Brigada diplomado de Estado Mayor Marco Antonio Gómez Nava, titular de la Unidad de Transparencia de la Oficialía Mayor de la Sedena, a la presidenta del Inai, Blanca Lilia Ibarra Cadena, con fecha del 4 de octubre, la secretaría reconoce que después de realizar un análisis forense digital para analizar lo sucedido confirmó “que el software de correo electrónico institucional sufrió un acceso no autorizado”.
El Inai advirtió en un comunicado del 30 de septiembre que el ataque cibernético en contra de los sistemas de la Sedena “puede llegar a comprometer datos de carácter confidencial de personas servidoras públicas y particulares, así como información de seguridad nacional”.
No obstante, de acuerdo con la Sedena, el sistema de correo electrónico que fue vulnerado no está “ligado ni enlazado a sistemas relacionados con el tratamiento de datos personales”, pues, según la institución, “únicamente es un medio que permite el intercambio de información”.
“Lo anterior se informa con la finalidad de que ese organismo garante (el Inai) verifique que el acceso no autorizado a información relacionada con el Correo Institucional de la Dirección General de Informática, no constituye una vulneración que afecte de forma significativa los derechos patrimoniales o morales de titulares de datos personales, lo anterior a que es información de carácter público, por tratarse de un medio de comunicación al interior de este sujeto obligado para transmitir mensajes de contenido no clasificado”, termina el documento de la Sedena.
25 días
La Dirección de Informática de la Secretaría de la Defensa Nacional (Sedena) tuvo además conocimiento de que el software de correo electrónico que usa, y que fue atacado por el grupo Guacamaya, tenía una vulnerabilidad desde el 9 de septiembre pasado, según la notificación enviada por la secretaría a la autoridad mexicana de protección de datos personales, el Inai.
La secretaría detectó la vulnerabilidad en el sistema de correo electrónico Zimbra 10 días antes de que el grupo Guacamaya publicara el anuncio sobre los 6 terabytes de información que le robó al ejército mexicano aprovechando dicha vulnerabilidad, lo cual ocurrió el 19 de septiembre.
El instituto garante de la transparencia y la protección de datos personales en México aseguró en su comunicado del 30 de septiembre que la Sedena tenía la obligación de notificar tanto a los titulares de los datos como al propio Inai sobre lo sucedido dentro de un plazo máximo de 72 horas, “contado a partir de que se confirmó la vulneración de seguridad y haya comenzado a tomar acciones encaminadas para mitigar la posible afectación”.
La notificación de la Sedena al Inai ocurrió 25 días después de que el ejército mexicano se enteró de que su servicio de correo electrónico había sufrido una vulneración y 15 días después de que el grupo Guacamaya hiciera público el robo de información a la secretaría.
