Roban padrón electoral del INE

Este viernes, el investigador de seguridad en internet Chris Vickery publicó en el blog MacKeeper que una persona robó el padrón electoral del Instituto Nacional Electoral (INE) y lo publicó de forma gratuita y accesible al público en un servidor en Estados Unidos.

Vickery informó que el pasado 14 de abril más de 93 millones de registros de votantes fueron subidos a un servidor de la nube de Amazon, desde donde cualquier persona podía descargarlos.

Pese a que ahora la información ya fue retirada del servidor, datos como “nombres, direcciones, fechas de nacimiento, un par de números de identificación nacionales, y algunos otros bits de información” estuvieron disponibles por varios días en internet.

Asimismo, MacKeeper publicó un video con una entrevista a Vickery, quien explica cómo fue que encontró la base de datos robada, titulada “padron2015” y contactó a las autoridades para dar a conocer la filtración, destacando el peligro que representa que la información privada de los votantes esté al alcance de cualquiera.

En el video, el investigador detalla que en México existe una “pena de hasta 12 años de prisión para cualquier persona que extraiga estos datos del gobierno para beneficio personal”, agregando que anteriormente también descubrió un hallazgo similar en Estados Unidos, aunque en ese país esta información es menos confidencial.

A continuación, el artículo completo de Chris Vickery en MacKeeper:

En mis manos está algo peligroso. Es la prueba de que alguien movió datos confidenciales del gobierno fuera de México hacia Estados Unidos. Se trata de un disco duro con 93.4 millones de registros de votantes descargados- La base de datos de votantes mexicana.

Véase la entrevista con Chris Vickery comentando esta filtración:

Antes de seguir adelante, vamos a hacer una cosa muy clara. Yo no soy la persona que transmitió los datos fuera de México. Otra persona tendrá que responder por eso. Sin embargo, hace ocho días (abril 14), sí descubrí una base de datos accesible al público, alojada en un servidor de la nube de Amazon, que contiene estos registros. No se requería ninguna contraseña o autenticación de cualquier tipo. Fue configurada exclusivamente para el acceso público. ¿Por qué? No tengo ni idea.

Después de informar de la situación al Departamento de Estado de Estados Unidos, el DHS, la Embajada de México en Washington, el Instituto Nacional Electoral de México (INE), y Amazon, la base de datos en línea fue finalmente retirada el 22 de abril de 2016.

Bajo la ley mexicana, estos archivos son “estrictamente confidenciales”, con una pena de hasta 12 años de prisión para cualquier persona que extraiga estos datos del gobierno para beneficio personal. Estamos hablando de nombres, direcciones, fechas de nacimiento, un par de números de identificación nacionales, y algunos otros bits de información.

A principios de esta semana, di una charla en el Centro de la Universidad de Harvard para el Gobierno y Estudios Internacionales de construcción, principalmente sobre el tema de las violaciones de datos. La suerte quiso que hubiera un estudiante de México presente. Después de la charla, durante el cual había anunciado este descubrimiento de la filtración, él fue capaz de confirmar la exactitud de al menos un registro en la base de datos.

Su reacción fue muy seria. De inmediato entendió el daño potencial que podría hacerse si esta base de datos fueran a parar a las manos equivocadas. El secuestro es un problema considerable en México, y permitiendo a los cárteles descargar copias de esta base de datos podría resultar desastroso.

Después de los ataques terroristas del 11 de septiembre, Estados Unidos, por la razón que sea, adquirió una base de datos similar a través de una firma de corredores de datos conocida como ChoicePoint. Por lo que he leído, ChoicePoint logró obtener la base de datos de votantes de México a cambio de 250 mil dólares a principios de los años 2000.

Cuando la historia se dio a conocer, los ciudadanos de México se mostraron indignados de que el Gobierno de Estados Unidos tenía detalles privados del país. Solo puedo imaginar la furia que se producirá ahora que cualquier persona en todo el mundo podría haberlos potencialmente descargado. Quiero decir, yo soy solo un tipo en Texas … y los tengo.

* Nota: Se agradece al administrador de databreaches.net (que también está cubriendo esta historia en https://www.databreaches.net/personal-info-of-93-4-million-mexicans-exposed-on-amazon/).

** Gracias adicional al periodista Adam Tanner (Compañero en el Instituto de Harvard de Ciencias Sociales Cuantitativas) por ponerme en contacto con el Instituto Nacional Electoral de México.

Consejero del INE responde

Este viernes, Javier Santiago, consejero Electoral del INE, reveló que el organismo presentó una denuncia ante las autoridades correspondientes por la publicación del padrón electoral.

Santiago destacó que la información ya no está disponible para su descarga en internet, y afirmó que la policía cibernética actuó de inmediato. Sin embargo, cabe destacar que Vickery realizó el descubrimiento hace ocho días.

Finalmente, el consejero del INE afirmó que “la autoridad no debe sospechar, debe investigar sobre este lamentable suceso”.

Con información de MacKeeper