Tras el ataque cibernético a la Secretaría de la Defensa Nacional (Sedena) esta corporación debe notificar al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) si existió una vulneración de seguridad respecto a los datos personales a su cargo en un lapso no mayor a 72 horas, contado a partir de que confirmó la vulneración de seguridad y haya comenzado a tomar las acciones encaminadas para mitigar la posible afectación.
Todo ello para iniciar la investigación previa respectiva sobre este incidente.
Por medio de un comunicado, el Instituto señaló además que se mantiene pendiente del cumplimiento de este deber, al margen de la eventual ejecución de acciones en materia de protección de datos personales ante la falta de una notificación por parte de la Sedena.
“En relación con la información pública sustraída, el INAI manifiesta su preocupación por aquella que pudiera estar clasificada como reservada por considerarse de seguridad nacional, al actualizar supuestos que comprometan, entre otros, las actividades de inteligencia o contrainteligencia, la coordinación interinstitucional, las estrategias o acciones para combatir la delincuencia organizada, la infraestructura de carácter estratégico o prioritario y, finalmente, datos que puedan poner en riesgo la vida, seguridad o salud de cualquier persona”, señala el documento.
Del mismo modo, subrayó que la información de seguridad nacional debe ser resguardada bajo los estándares tecnológicos más avanzados, ya que su publicación podría causar un perjuicio significativo al interés público o a la seguridad nacional.
Por último, el INAI resaltó que, como se ha hecho público, la Auditoría Superior de la Federación (ASF) realizó a la Sedena una Auditoría de Cumplimiento a Tecnologías de Información y Comunicaciones, cuyos hallazgos y resultados sugieren la necesidad de mejorar los controles de ciberseguridad para la infraestructura de hardware y software.