Una reciente investigación reveló una vulnerabilidad en varios portales del gobierno de la Ciudad de México enfocados a la atención de la corrupción, principalmente aquellos que fueron creados durante la gestión de Miguel Ángel Mancera y que quedaron inutilizados después de la transición en 2018.
De acuerdo con Víctor Ruiz, instructor certificado en ciberseguridad y fundador de la empresa SILIKN, el problema —más allá de que sean sitios que no se encuentran activos— consiste en que dichas brechas podrían poner en riesgo la divulgación de información confidencial.
“Si el servidor no está configurado correctamente para requerir autenticación, cualquier usuario que acceda a la URL podría ver información sensible o manipular el sistema”, advirtió el especialista en seguridad informática a través de una alerta publicada en redes sociales.
Información sensible podría ser revelada
Entre los sitios web afectados se encuentran aquellos dedicados a combatir la corrupción, dar seguimiento a procesos de transición gubernamental y proporcionar información detallada sobre obras públicas. Plataformas como “Juntos contra la Corrupción”, diseñada para mejorar la atención de los servidores públicos a la ciudadanía, y el portal de la Contraloría General, que permitía el seguimiento de las reuniones de la Comisión de Transición, se encuentran entre los sitios vulnerables.
Otra de las páginas afectadas es el portal de obras de la Contraloría, que —hasta 2018— ofrecía información detallada sobre proyectos de construcción en la ciudad, incluyendo contratos y avances de obra. En su etapa funcional, los ciudadanos podían acceder a esta información fácilmente escaneando un código QR.
¿Cuál es la vulnerabilidad en estos sitios?
Ruiz explicó que estos portales gubernamentales están utilizando la plataforma XAMPP sin las configuraciones de seguridad adecuadas, lo que deja expuesta información crítica y permite posibles ataques de terceros.
Al acceder a las páginas, se despliega la típica pantalla de inicio de XAMPP, donde se indican las versiones de los componentes instalados y se incluyen accesos directos a herramientas administrativas como phpMyAdmin, así como opciones de configuración de módulos de Apache y MySQL. Esto confirma la falta de seguridad, ya que dicha página está accesible públicamente, permitiendo que cualquiera pueda visualizarla y, potencialmente, acceder a la administración del servidor.
Ruiz explicó que XAMPP es una herramienta diseñada principalmente para entornos de desarrollo, no para producción en servidores públicos sin medidas adicionales de seguridad. “Dejar un entorno XAMPP en un servidor público sin las configuraciones adecuadas puede permitir la ejecución de scripts maliciosos, el acceso no autorizado a bases de datos, e incluso la modificación de archivos en el servidor”, mencionó el experto.
En concreto, al dejar estas herramientas visibles y accesibles en línea, se permite que cualquier persona pueda acceder a bases de datos sin autorización y modificar la configuración del servidor, lo cual podría facilitar futuras intrusiones o incluso sabotaje de los servicios.
“Se solicita a las autoridades que verifiquen esta información y apliquen las medidas de seguridad necesarias para proteger los datos de los ciudadanos de la CDMX”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de la empresa SILIKN
