Nafin contrata ciberpatrullaje por 6.75 mdp
La institución se blindará contra amenazas de ataques, fugas de información y sitios web apócrifos
CDMX. Las dependencias y organismos de la administración pública federal buscan cada vez más blindar sus sistemas informáticos, ante riesgos cibernéticos y campañas fraudulentas en redes sociales.
Tal es el caso de Nacional Financiera (Nafin), perteneciente a la banca de desarrollo, que para 2023 contrató un plan integral de ciberseguridad, pero con tareas específicas de ciberpatrullaje.
A través de una licitación publicada en Compranet, el organismo destacó que el objetivo del servicio de ciberpatrullaje es realizar un análisis para identificar riesgos a los que esté expuesta la institución.
De manera particular, se busca que Nafin pueda tener visibilidad de eventos relacionados con la banca, su sitio web, reputación y puntos débiles que puedan comprometer la información interna.
Este ciberpatrullaje se hará todos los días del año, y posteriormente se realizará un análisis por parte de la empresa ganadora del contrato, mismo que deberá considerar el panorama geopolítico, económico y social del entorno en el cual se encuentra Nafin “para identificar comportamientos de ataques de acuerdo al sector y ubicación”. El contrato se hizo con la empresa Totalsec S.A. de C.V., el cual empezará el 1 de abril de 2023, con una vigencia de 24 meses, y tendrá un costo total de 6.75 millones de pesos.
“El licitante deberá contar con una metodología que permita recolectar información de los diferentes puntos de exposición, identificar, analizar y reportar cualquier evento que constituya un ciberriesgo”, detalla el documento elaborado por la institución financiera. De acuerdo con los requerimientos, se hará especial énfasis en amenazas de ataques, fugas de información, sitios web apócrifos, así como campañas contra Nafin o personal crítico.
A su vez, se planea identificar la venta de información confidencial, detección de campañas de mercadotecnia fraudulenta, entre otros aspectos que representen un problema o puedan comprometer la infraestructura tecnológica.
El ciberpatrullaje se hará en diferentes puntos de internet. Algunos de ellos como redes sociales, páginas web, aplicaciones en dispositivos móviles y correo electrónico.
La vigilancia deberá tener en cuenta las diferentes capas de internet, como la “dark”, “deep” y “clear” web. Estos lugares permiten a las personas navegar de forma anónima, pero también son utilizados por hackers para compartir información, ya sea de forma gratuita o a cambio de dinero, así como para descargar programas ilegales.
Los riesgos identificados a raíz del ciberpatrullaje tendrán que ser comunicados a una serie de contactos, previamente designados por Nafin.
“El proveedor contratado debe incorporar los hallazgos de inteligencia cibernética en el proceso de respuesta a incidentes de seguridad. Si existen acciones para mitigar los riesgos identificados dentro del alcance de los servicios, el proveedor debe iniciar las acciones de contención de acuerdo a los procedimientos y niveles de servicio establecidos, previa aprobación de los contactos designados”.
Además, en caso de identificar sitios o aplicaciones falsas, el proveedor deberá “tener la capacidad” de tomar las medidas necesarias para que sean eliminadas, independientemente de donde estén alojadas, según el documento .
“El proveedor debe documentar sus acciones de contención para evaluar sus capacidades de respuesta y los niveles de servicio asociados”, detalla la convocatoria de Nafin.
RECIBEN PROPUESTAS DE HASTA MÁS DE 15 MDP
Hasta el pasado 19 de enero, Nafin recibió siete propuestas económicas, de un mismo número de empresas, para ganar la licitación pública del servicio de ciberseguridad solicitado, las cuales van desde los 2.8 y hasta más de 15 millones de pesos.
Las empresas que ofertaron sus servicios fueron Indra Sistemas México, Iqsec, Nordstern Technologies, PG Ranhtoe, Scitum, Silent4Business, y Totalsec S.A. de C.V. de acuerdo con Compranet.
La propuesta más onerosa fue por parte de Iqsec, con un monto aproximado de 15 millones 33 mil pesos, mientras que la más barata fue de Indra Sistemas México, de dos millones 881 mil pesos.
Recientemente, otra institución pública que lanzó una convocatoria para contratar un plan que lo ayude a blindarse contra ciberataques fue el Banco Nacional de Obras y Servicios Públicos (Banobras).
De acuerdo con una licitación publicada en Compranet, la dependencia busca prevenir hackeos mediante la implementación de un sistema de alertas que funcione con Inteligencia Artificial (IA).
Esta herramienta deberá funcionar los 365 días del año, las 24 horas del día, y deberá enviar un análisis detallado sobre el tipo de ataque, nivel de riesgo, información en peligro y posible solución.