Una reciente auditoría de la infraestructura de tecnología de la información del municipio de Horseheads reveló graves debilidades en la seguridad cibernética que podrían dejar a la comunidad expuesta a filtraciones de datos y fallos en los sistemas. La auditoría, realizada por la Oficina del Tesorero del estado de Nueva York, revisó las prácticas de tecnología de la información del municipio desde enero de 2024 hasta principios de 2025 y identificó múltiples problemas críticos.

Cuentas de usuario no gestionadas y riesgos de seguridad

La auditoría encontró que el municipio tenía 28 cuentas de usuario activas en la red y cinco cuentas locales en los computadores revisados. Sin embargo, los auditores identificaron 12 cuentas de red que no estaban asignadas a personal específico y dos cuentas compartidas por múltiples usuarios. Además, cinco cuentas seguían activas a pesar de haber sido asignadas a empleados que habían dejado el municipio entre 1½ y cinco años antes.

Los auditores advirtieron que estas cuentas no asignadas, compartidas o inactivas representan un riesgo significativo para la seguridad. Los atacantes podrían aprovecharlas para acceder a información sensible o sistemas, lo que podría llevar a filtraciones de datos o interrupciones operativas. ‘Las cuentas no utilizadas o compartidas pueden crear riesgos de seguridad porque los atacantes podrían usarlas para acceder a información o sistemas sensibles’, indicó el informe.

Falta de contratos formales y plan de contingencia

Otra hallazgo importante fue la falta de un contrato escrito o un acuerdo de nivel de servicio con su proveedor de tecnología de la información externo, a pesar de haber pagado 14.790 dólares en 2024 por servicios como mantenimiento de sistemas, monitoreo de antivirus y respaldos de datos. Los auditores destacaron que la ausencia de un acuerdo formal podría dejar al municipio sin expectativas claras o responsabilidades sobre el desempeño del proveedor.

La preparación ante emergencias también fue una preocupación. La auditoría señaló que el municipio no tenía un plan escrito de contingencia informática que explicara cómo el personal debería responder a interrupciones como ciberataques o fallos en los sistemas. Aunque el proveedor de tecnología de la información realizaba respaldos de datos nocturnos y los auditores confirmaron una restauración exitosa, la falta de un plan formal podría retrasar los esfuerzos de recuperación durante un incidente grave.

‘Aunque el proveedor de tecnología de la información realizaba respaldos de datos nocturnos y los auditores confirmaron que un respaldo había sido restaurado con éxito, el informe señaló que la falta de un plan formal podría retrasar los esfuerzos de recuperación durante una interrupción grave’, indicó la auditoría.

Capacitación del personal y conciencia

La auditoría también reveló que ninguno de los 18 empleados con acceso a la red del municipio había completado capacitación en seguridad informática. Oficiales del estado destacaron la importancia de esta capacitación para ayudar a los empleados a reconocer amenazas como correos electrónicos de phishing, descargas maliciosas o intentos de acceso no autorizado.

‘La capacitación es fundamental para ayudar a los empleados a reconocer amenazas como correos electrónicos de phishing, descargas maliciosas o intentos de acceso no autorizado’, afirmó el informe. La auditoría emitió cinco recomendaciones, incluyendo la adopción de políticas escritas para la gestión de cuentas de usuario, la establecimiento de un contrato formal con el proveedor de tecnología de la información, el desarrollo de un plan integral de contingencia informática y la provisión de capacitación en ciberseguridad a los empleados.

Los oficiales del municipio dijeron que revisaron los hallazgos y planean desarrollar un plan de acción correctivo para abordar los problemas identificados en la auditoría. ‘Tomamos estos hallazgos en serio y estamos comprometidos a implementar las medidas necesarias para fortalecer nuestra infraestructura de tecnología de la información’, dijo un representante del municipio en un comunicado.

La auditoría destaca la creciente preocupación por las vulnerabilidades en la seguridad cibernética de los sistemas gubernamentales locales. Problemas similares se han reportado en otros municipios en todo Nueva York y Estados Unidos, lo que subraya la necesidad de mejorar las prácticas de seguridad informática a nivel local. Con las amenazas cibernéticas que continúan evolucionando, la falta de preparación en Horseheads podría tener implicaciones reales para los residentes y los servicios locales.

Mientras el municipio avanza con su plan de acción correctivo, los próximos pasos incluirán evaluar la efectividad de nuevas políticas, garantizar el cumplimiento con las directrices del estado y proporcionar capacitación continua a los empleados. El cronograma para la implementación completa aún no está claro, pero las autoridades han indicado que el proceso se supervisará de cerca para asegurar que se aborden todas las brechas de seguridad.