Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GUÍA PARA LA
SEGURIDAD DE
CAMPAÑAS
ELECTORALES
EN MÉXICO
Presidente del Consejo Directivo
Pablo Corona Fraga (NYCE)
Vicepresidencia Ejecutiva
José Luis Hernández Sánchez(White Bx Project)
Tesorería
Jaime Montiel (LD Servicios Contables y Financieros)
Secretario del Consejo Directivo
Luis Alberto Escorcia Collado (Cataño, Escorcia y Asociados)
Vicepresidencia de Ciberseguridad
Michelle Naranjo Alfaro (Amazon Web Services)
Vicepresidencia de Comercio Electrónico
César Pallares (Transparentia)
Vicepresidencia de Educación y Cultura
Lina Elizabeth Rodríguez González (Digital Venture)
Vicepresidencia de Infraestructura
Manuel Díaz (Huawei)
Vicepresidencia Innovación y Tecnologías Emergentes
Víctor Manuel Lagunes Soto Ruiz (Cyber.Lat)
Vicepresidencia de Investigación
Itzul Girón Antonio (Knowsy AI)
Vicepresidencia Jurídico
Alfredo Alejandro Reyes Krafft (LexInf)
Vicepresidencia Relaciones con Gobierno
Andrea Cabrera Arrangoiz (Diálogo Corporativo)
Vicepresidencia de Capital Humano
Alejandra Martínez Campos (Computrabajo)
Presentación ................................................................................................. 3
Introducción ....................................................................................... 5
ASOCIACIÓN DE INTERNET MX
GUÍA PARA LA SEGURIDAD DE CAMPAÑAS ELECTORALES EN MÉXICO
Presentación
Said Hernández Quintana*
Según una investigación del periódico The New York Times, 2024 se perfila como el
año de “mayor actividad electoral en el mundo: están previstos más de 80 comicios
importantes, la mayor cantidad en, al menos, las siguientes dos décadas. Esto
significa que, en el transcurso del año, unos 4000 millones de votantes tendrán en
sus manos algún tipo de decisión para incidir en el futuro de su país, según algunos
cálculos. Es casi la mitad de los habitantes del planeta.”
A medida que México se prepara para las elecciones del 2 de junio de 2024, la
seguridad de las campañas electorales adquiere una importancia sin precedentes.
El periodo de campañas electorales, que inicia el 1 de marzo, se enfrenta a un amplio
espectro de riesgos que amenazan su integridad y la confianza pública en el
proceso democrático. Los desafíos incluyen, entre otros, ataques cibernéticos
dirigidos a infraestructuras críticas electorales, la proliferación de desinformación y
noticias falsas que buscan manipular la opinión pública, así como amenazas físicas a
la seguridad de los candidatos y sus equipos.
ASOCIACIÓN DE INTERNET MX
GUÍA PARA LA SEGURIDAD DE CAMPAÑAS ELECTORALES EN MÉXICO
3
El texto fue preparado por Pablo Corona Fraga, un mexicano experto en
ciberseguridad y reconocido por sus aportaciones al tema de la gestión de riesgos.
Ya en 2019, la editorial Thomson Reuters tuvo a bien publicar su libro “Guía práctica
de gestión de riesgos en la era de la ciberseguridad”, del cual el autor retoma
algunas ideas y las complementa con reflexiones dirigidas a los partidos políticos,
autoridades electorales y votantes.
ASOCIACIÓN DE INTERNET MX
GUÍA PARA LA SEGURIDAD DE CAMPAÑAS ELECTORALES EN MÉXICO
4
GUÍA PARA LA SEGURIDAD DE
CAMPAÑAS ELECTORALES EN MÉXICO
Introducción
5
Frente a estos desafíos, es crucial que en México se continúen desarrollando e
implementando estrategias integrales de seguridad en los procesos de campaña.
Esto no solo implica mejorar la seguridad física y digital de las infraestructuras
relacionadas, sino también fomentar una cultura de conciencia y resiliencia entre
los responsables, los partidos políticos y las campañas.
6
PANORAMA GENERAL DE LAS
INSTITUCIONES ELECTORALES EN MÉXICO
7
ENTENDIENDO LOS RIESGOS
No podemos concebir los riesgos con una sola cara, los beneficios que
obtenemos nos traen posibles consecuencias negativas. Pr esto es relevante
contar con una visión basada en la gestión de riegos, para maximizar las ventajas
y disminuir al máximo los eventos que puedan dañarnos.
8
Para una adecuada gestión de riesgos se requiere de una estrategia integral que
contemple a las personas, la tecnología y los procesos que se utilizan para
manejar la información y los elementos sensibles que están involucrados en la
campaña. Para esto hay que comenzar por entender la información que tenemos
y su ciclo de vida. Es decir, los medios por los que pasa esa información, en dónde
es almacenada procesada e incluso cómo es eliminada al final del ciclo. Esto
puede incluir computadores, equipo de comunicación móvil, redes sociales,
correos electrónicos, archivos impresos, memorias USB, almacenamiento en la
nube, las personas que los utiliza e incluso el entorno en el que viven.
9
Procedimientos de seguridad física: Informar sobre las medidas de seguridad
en eventos y sedes de campaña, incluyendo protocolos de evacuación,
identificación de salidas de emergencia y procedimientos en caso de recibir
paquetes o correspondencia sospechosa.
Explicar las tácticas de ingeniería social utilizadas por los atacantes para
obtener información confidencial a través de la manipulación de personas, en
muchos casis buscando comprometer a la persona haciéndolos creer que
están en una urgencia, haciéndose pasar por alguien más e incluso
proporcionando información verdadera que obtuvieron por otros medios,
para que legitime su solicitud.
10
También es importante proporcionar guías sobre la instalación de software de
seguridad, como antimalware y la importancia de mantener los dispositivos
actualizados para protegerse contra vulnerabilidades.
En el siguiente ejemplo podemos ver un correo que busca hacerse pasar por una
comunicación del SAT y que en realidad trata de que ejecutemos un software
malicioso:
https://phishingquiz.withgoogle.com/?hl=es-419
11
Las campañas de phishing son cada vez más elaboradas y buscan ser
convincentes, proporcionando información real y asociando el correo con temas
de la campaña o asuntos que requieren ser atendidos de forma urgente. Antes
de abrir archivos adjuntos, entrar a ligas desde correos recibidos, introducir
credenciales de acceso o instalar aplicaciones, asegúrate que el remitente es
legítimo, que el sitio a que deseas entrar está correctamente escrito. De
preferencia accede manualmente a las direcciones de los servicios que conoces
en vez de hacer click en la liga recibida en un correo.
11
PROTECCIÓN CONTRA AMENAZAS
Contraseñas fuertes:
Utilizar contraseñas largas, únicas y complejas para todas las cuentas, por lo
tanto no usar la misma contraseña para más de una servicio o sitio. Evitar el uso
datos que puedan adivinarse fácilmente como la fecha de nacimiento, datos
públicos de la persona o palabras comunes. No compartirlas con otras personas y
cambiarlas en caso de saber que han sido compartidas o vulneradas. El uso de
gestores de contraseñas puede facilitar este proceso, por ejemplo:
12
Autenticación de dos factores (2FA):
Activar 2FA en todas las cuentas posibles, añadiendo una capa adicional de
seguridad más allá de la contraseña. Existen varias opciones de segundo factor
de autenticación; por ejemplo, generadores de claves de una sola vez (OTP)
como los que usamos en el banco, ya sean físicos o en una app, llaves que se
conectan por USB e incluso el envío de una clave por SMS. Esta última opción, si
bien es mejor que no tener 2FA activado, puede tener otras vulnerabilidades; por
ejemplo, que el mensaje sea visto cuando llega con la notificaciones en la
pantalla bloqueada del dispositivo, que alguien logre suplantar la identidad del
titular de la línea y pira un reemplazo del chip, tomando posesión de la línea (sim
swapping).
Existen ataques asociados con las líneas telefónicas, especialmente con el buzón
de voz. Por esto es importante habilitar un número de identificación personal
(NIP) para acceder al buzón de voz. Consulta con tu proveedor de servicio cómo
habilitar este NIP, de otra forma alguien podría escuchar sin autorización los
mensajes de voz en el buzón.
13
Las cuentas de administrador y usuarios con privilegios de acceso especiales
deben mantenerse bajo custodia de personal de confianza, evitando realizar las
actividades regulares con este tipo de usuarios, manteniendo contraseñas
robustas y habilitando un segundo factor de autenticación (2FA). Esto aplica para
servidores de correo, administradores de sitios web, servicios de nube, servidores
locales, equipos de cómputo e incluso dispositivos móviles.
Respaldos:
Realizar respaldos periódicos de la información crítica de la campaña. Almacenar
los respaldos en ubicaciones seguras, preferiblemente desconectadas de la red
para evitar su compromiso durante un ciberataque.
13
Seguridad en la nube:
Utilizar proveedores de servicios en la nube que ofrezcan fuertes controles de
seguridad y cifrado de datos, tanto en tránsito como en reposo.
Cifrado:
En ocasiones también llamado encripción, el cifrado transforma información en
un código para que solo personas con una clave específica puedan acceder a ella,
asegurando que los datos sean inaccesibles durante su transmisión o
almacenamiento, excepto para el destinatario previsto. Este método es crucial
para proteger datos sensibles, ya que impide que terceros no autorizados
puedan interpretar la información, incluso si logran interceptarla.
14
Arquitectura zero-trust:
Implementar una estrategia de seguridad basada en el principio de "nunca
confiar, siempre verificar", limitando el acceso a recursos y datos exclusivamente
a usuarios y dispositivos autenticados y autorizados.
15
Identificación de sitios web falsos:
Capacitar al personal para reconocer señales de sitios web falsos o maliciosos,
como errores en la URL o falta de cifrado HTTPS. El siguiente ejemplo muestra un
sitio falso, que incluso tiene HTTPS, pero que no es el sitio legítimo de pagos que
intenta suplantar:
16
Pruebas de seguridad: Realizar auditorías y pruebas de penetración
regularmente para identificar y remediar vulnerabilidades en la infraestructura
digital de la campaña.
17
GESTIÓN DE SEGURIDAD DE SISTEMAS Y CUENTAS DE REDES SOCIALES
Seguridad de Cuentas:
Aplicar medidas de seguridad robustas para las cuentas de redes sociales,
incluyendo contraseñas fuertes y 2FA. Designar personal de confianza para la
gestión de estas cuentas y limitar el acceso solo a los necesarios.
Monitoreo Activo:
Utilizar herramientas de monitoreo de redes sociales para rastrear la presencia
en línea de la campaña y responder rápidamente a la desinformación.
Monitorear la actividad desde las opciones de configuración de las redes sociales
es relevante, para identificar inicios de sesión o actividad desconocida.
18
Eso puede incluir otros agentes como proveedores, colaboradores descontentos
y otro tipo de personas con las que colaboramos e interactuamos.
19
GESTIÓN DE CRISIS
20
Atacantes Internos:
Establecer controles para detectar y prevenir amenazas internas, incluyendo el
monitoreo de actividades sospechosas y la implementación de políticas de
mínimo privilegio para limitar el acceso a información sensible.
21
Comunicación con el público:
Análisis post-incidente:
Una vez resuelta la crisis, realizar un análisis exhaustivo para identificar las causas
raíz, evaluar la efectividad de la respuesta y determinar las lecciones aprendidas.
22
RESUMEN DE LAS PRINCIPALES
RECOMENDACIONES
23
PROMOTORES Y PATROCINADORES
NYCE
Normalización y Certificación NYCE, nace como
un Organismo Nacional de Normalización (ONN)
en la industria Electrónica, Telecomunicaciones y
Tecnologías de Información lo que consolidó su
liderazgo en la evaluación de la conformidad en
materia de Normas Oficiales Mexicanas (NOM) y
Normas Mexicanas (NMX) para diversas industrias.
White Bx Project
The White Bx Project ofrece servicios de
consultoría, capacitación, proveeduría de
tecnología y auditorías algorítmicas para aquellas
organizaciones que utilizan inteligencia artificial y
buscan gestionar los riesgos que impactan de
forma negativa a las personas, el entorno social,
medioambiental o de gobierno corporativo.
23
24
Contacto
Eugenia 926, Col del Valle Centro, Benito https://www.asociaciondeinternet.mx
Juárez, 03100 Ciudad de México, CDMX