Solicitan auditoría por manipulación y eliminación de cuentas de correo electrónico en el IDAAN
Una solicitud de auditoría formal sobre la plataforma de correo electrónicos del Instituto de Acueductos y Alcantarillados (IDAAN), solicitó el jefe de Infraestructura y Operaciones de la entidad por anomalías detectadas en el manejo de varias cuentas.
El documento titulado “Reporte de anomalías en Plataforma de Administración de Correo Electrónico Zimbra”, dirigido al Jefe de Seguridad Informática, tiene como objetivo notificar a la Alta Gerencia sobre situaciones que no son comunes en la gestión de la plataforma de correo electrónico.
Se explica en el informe al cual tuvo acceso La Verdad Panamá, que para el 15 de enero de 2021 se planteaba eliminar una serie de cuentas de correo, las cuales se habían preparado con su respectivo backup, pero para evitar eliminar alguna cuenta por error o que se haya activado en los últimos días se procedió a hacer un último análisis de las cuentas cerradas. “Dentro del análisis se descubre que no se encuentra dentro de la plataforma de administración Zimbra la cuenta jeguardia @idaan.go.pa, incongruencia que se detecta ya que a inicios de año se le había realizado un backup a la cuenta junto con otras 258 a eliminar por desuso o porque el personal no se encuentra laborando en la institución”.
De acuerdo con el informe con fecha de 29 de enero de 2021, se procedió a realizar un análisis de la misma y se detecta que se ha manipulado la cuenta y que se ha borrado información de la misma identificando un diferencial en el peso de los archivos de backup de las cuentas realizadas.
El 31 de marzo de 2017 se realizó el primer backup de la cuenta de la ingeniera Julia Guardia, la cual contenía un peso de 5.48 GB. Sin embargo, en el 2021 se realizó un último backup para proceder con la eliminación de la cuenta por desuso, quedando en evidencia la falta de archivos al registrar un tamaño de 3,63 GB.
Expone el jefe de Infraestructura y Operaciones del Idaan que “observando este diferencial en el backup de la cuenta, se procede a realizar una investigación más profunda, en la que se descubre que la cuenta fue eliminada de la plataforma de colaboración zimbra en la siguiente fecha: domingo 10 de enero del 2021”.
Se corrobora con nuestro firewall perimetral que el usuario czo tuvo acceso al IDAAN en esa fecha al puerto de administración del zimbra 9071.
Los hallazgos continuaron durante el monitoreo y mantenimiento de la plataforma de correo electrónico, al observarse un comportamiento inadecuado sobre distintas cuentas de personas que tienen niveles de mandos medios y altos dentro de la institución.
Al realizarse un estudio más profundo sobre esta situación se verificaron los logs del servidor de manera minuciosa y se pudo detectar que esta situación se debía a una cuenta administrativa perteneciente a czo@idaan.go.pa.
Otra de las anomalías presentadas fue la eliminación de la cuenta de un ex usuario de alto perfil de la entidad, sin el debido proceso de eliminación de cuenta. También se evidenció que la cuenta presentó un diferencial en el tamaño del mailbox con el pasar del tiempo.
Las recomendaciones del departamento de infraestructura y Operaciones y del departamento de Seguridad Informática fueron las siguientes:
- Eliminar el acceso de forma delegada a los administradores del correo, aunque sea usado para dar soporte, para mitigar la posibilidad de acceso a la lectura de cuentas de correo electrónico.
- Cumplir con los principios de confidencialidad para todos los administradores de sistemas y personas que manejan información sensible y privilegiada.
- Toda persona que ingrese a laborar dentro de la dirección de Tecnología o dentro de la institución debe firmar un acuerdo de confidencialidad para tener una garantía que estas situaciones no sucedan.
- Solicitar un proceso de auditoría por un ente certificado en este tipo de situaciones.