Cómo se pudo evitar la filtración del padrón en Amazon

El pasado jueves 14 de abril, el analista de ciberseguridad Chris Vickery se encontraba navegando por internet, en el buscador Showdown.io, cuando se encontró en la nube de Amazon con un archivo muy particular, casi 132 gigabytes de información clave sobre un país latinoamericano.

El especialista procedió a analizar lo que estaba ante sus ojos y encontró, con sorpresa, que se trataba de la lista nominal del Instituto Nacional Electoral (INE) de México, con todos los datos de relevancia de los más de 93 millones de votantes que hay en el país.

En sus manos estaba todo: nombres, direcciones, edades, fechas de nacimiento y CURPs de alrededor de un 72% de la población, disponibles para cualquier persona que quisiera hacer de alguna manera uso de ellos.

Una vez que supo con lo que estaba lidiando, Chris decidió ir ante instancias oficiales para denunciar. Primero avisó a la Secretaría de Estado de EU, quien no le dio importancia al hecho, después acudió a la Embajada de México, que decidió no darle seguimiento al tema, y en tercera instancia llegó hasta el INE, que acabó por aceptar la delicadeza de la situación.

Fue así como el INE anunció finalmente el pasado viernes 22 la situación que se estaba presentando, advirtiendo que en breve la lista sería borrada de los servidores de la plataforma tecnológica de Jeff Bezos.

Quiénes son los culpables

¿Quiénes son los responsables de esta filtración? De acuerdo con Gabriel Regino, abogado penalista y ex subsecretario de la Secretaría de Seguridad Pública capitalina (SSPCDMX), el único culpable es el INE, pues debería tener la capacidad de proteger bajo cualquier circunstancia esta información.

“Esta es una omisión imperdonable del INE, porque la información, más allá de que ellos la hayan proporcionado a algún partido político y por esta vía se haya filtrado, debería de contar con candados y cifrados que eviten que los archivos puedan ser vistos y utilizados por cualquier tipo de persona”, comenta en entrevista.

De acuerdo con la información dada a conocer por el propio organismo, el archivo encontrado en la nube es una actualización del padrón hasta febrero de 2015 y llevaba más de un año de estar disponible en la red, según explica el propio Vickery.

Regino negó que Amazon tuviera responsabilidad en el tema, ya que desde su perspectiva la tarea de resguardar que la información se mantuviera en su lugar y con el cuidado pertinente es totalmente del INE, al ser la lista a la cual se deben.

Es importante destacar que la propia compañía de Bezos descartó el viernes pasado tener responsabilidad en la filtración de la información. Alto Nivel solicitó una entrevista con el equipo en México para hablar acerca del tema, sin embargo, la compañía señaló que no dará por ahora declaraciones.

¿Por qué debe preocuparnos la filtración?

En un video a través del cual dio a conocer todo lo sucedido con la lista que encontró, el analista Chris Vickery señaló que su mayor preocupación cuando la encontró no fue precisamente qué se diría sobre el tema, sino más bien lo que gente maliciosa pudiera hacer con los datos.

“Estas son cosas que no quieres que gente maliciosa llegue a tener en sus manos, sobretodo si analizamos cómo es que el crimen organizado podría explotar este tipo de bases de datos con información de los ciudadanos mexicanos”, sostuvo.

Gabriel Regino está de acuerdo con el pensamiento de Vickery y sostiene que son dos actividades delincuenciales que los criminales podrían realizar con apoyo de esta información.

La primera es la suplantación de identidades gracias a todos los datos que están disponibles en la plataforma, y en segundo lugar, aún más preocupante, según su análisis, está el hecho de que los delincuentes puedan saber exactamente el sitio en el que las personas residen.

“Los delincuentes están actuando con informaciones que obtienen de las personas en sus páginas de Facebook, o fuentes humanas como choferes, amigos o servicios para atacar a sus víctimas, si a eso le agregas que ahora pudieran saber cuál es la dirección exacta de cada persona pues las cosas se complican todavía más”, detalla.

Lo que el INE debió hacer

Para el ex funcionario de la SSPCDMX este suceso debe invitar al gobierno mexicano a fortalecer aún más sus capacidades en materia de ciberseguridad, las cuales si bien han trabajado correctamente en algunas de sus áreas estratégicas, siguen siendo endebles en organismos autónomos como lo es precisamente el INE.

Eulogio Díaz, Director General de G Data en México, compañía especializada en seguridad cibernética, señala que tanto las dependencias federales como los organismos estatales deben establecer mayores barreras que protejan a su información del robo.

“Mientras más conectados estemos a internet, redes, sistemas administrativos o dispositivos móviles, la preocupación por el robo de información va ser cada vez mayor, así que considero que los gobiernos deben de introducir cuanto antes resguardos que les ayuden a no caer en este tipo de situaciones”, expone a Alto Nivel.

En primera instancia Díaz recomienda a las instituciones gubernamentales trabajar con programas o aplicaciones DLT que prevengan de la fuga de información y mantengan siempre en monitoreo toda aquella información que es relevante para ellos.

En segundo lugar, advierte que es básico trabajar en evitar que la información pueda pasar de mano en mano sin protección, como sucedió muy probablemente en este caso, ya que de acuerdo con el INE los archivos eran siempre transferidos vía magnética (disco duro) a los partidos políticos.

Ante este tipo de eventos, su recomendación pasa por establecer políticas de niveles de acceso, cifrado de información y doble autenticación que cierren la puerta a los archivos a personas que no tienen el grado necesario para poder usarlos, asimismo, es básico que se niegue a las personas la posibilidad de llevar este tipo de data en dispositivos personales, como USBs, smartphones o discos propios.

“Debemos de entender que cualquier descuido informático puede abrir una brecha de vulnerabilidad, por lo que es importante que se cubran todos los frentes posibles, sobretodo si estamos ante casos de data tan importante como sucedió aquí”, cierra. Cabe señalar que tras el hecho, el Instituto Nacional Electoral confirmó este lunes que realizará modificaciones a sus lineamientos para poder proteger mejor su información.

Alejandro Medina Periodista geek, fanático de la tecnología y las redes sociales. Contar historias lo es todo.