"No había nada que hackear (...), estaba simplemente publicada y disponible la información”

Chris Vickery

Informático

El informático Chris Vickery y la empresa Amazon rechazaron ayer que el padrón electoral que publicó en internet una empresa contratada por Movimiento Ciudadano tuviera un candado o protección como aseguró el partido político de Dante Delgado.

Ayer el diputado Jorge Álvarez Máynez, representante de MC ante el INE, aseguró que “los candados estaban perfectamente activados y fueron vulnerados”.

Para Vickery, quien radica en Austin, Texas, es absurda esa versión del partido político.

“No había nada que hackear, no había protección, estaba simplemente publicada y disponible la información”, respondió Vickery ante los argumentos de MC.

Para comprobar su postura, el experto en informática envió capturas de pantalla a Reporte Indigo de Shodan, –el portal de búsqueda que utilizó al momento de encontrar la base de datos–, en donde se comprueba que el archivo “padron2015” estaba en línea y sin protección.

“En las imágenes de Shodan se muestra la base de datos, la dirección IP, dice claramente ‘padron2015’ con la fecha de abril 14 de este año, y la única manera de que eso aparezca en línea es que no había ninguna contraseña, esto no se enseñaría en Shodan si hubiera una contraseña”.

La empresa Amazon aseguró ayer a Reporte Indigo que el padrón electoral subido a su plataforma por una empresa contratada por Movimiento Ciudadano estaba desprotegido.

 “En relación con la detección de una copia de la Lista Nominal de Electores almacenada de una manera no segura en un espacio de almacenamiento en la nube de AWS, Amazon Web Services señala lo siguiente”, declaró un vocero de Amazon Web Services. 

“Todas las medidas de seguridad y redes de Amazon Web Services  operaron –y continúan operando– como fueron diseñadas”.

Además el emporio de Jeff Bezos insistió en que aplicaron los protocolos de seguridad, una vez que fueron informados de la falta de candados en el almacenamiento de la nube. 

El servicio ofrecido por Amazon  fue notificado de la vulnerabilidad, sin embargo no se especifica si fue Vickery quien dio el llamado.

La lista de votantes se dio de baja de Amazon Web Services (AWS) el viernes 22 de abril.

La verdad de Vickery

Para comprobar que no fue una intrusión informática, Vickery entregó una captura de pantalla a Reporte Indigo donde se especifica la dirección IP donde estaba disponible el padrón electoral.

“Si (la información) está encriptada, Shodan no puede alcanzarla (…) copié esa dirección IP en el cliente MongoDB, pulsé enter y así fue como la información salió”, enunció.

Vickery utilizó el programa MongoVUE para accesar a la base de datos que MC subió a AWS a través de Indatcom, el listado no contaba con protección.

Movimiento Ciudadano: Tiran la piedra sin nombre

Sin querer decir el nombre directamente de Chris Vickery, el funcionario público acusó que “la misma persona que dio a conocer el ataque cibernético o la información es la persona que publicó en diciembre pasado la lista nominal de Estados Unidos (…) fue un ataque premeditado”.

El tejano que labora como investigador de seguridad para la empresa MacKeeper, fue quien encontró esta base de datos con el registro de 191 millones de votantes en la Unión Americana.

Pero al preguntarle a Álvarez Máynez si creía que Vickery es un hacker, evadió el apuntarlo de manera directa.

“No podemos tener la certeza de eso (…) Chris Vickery se promociona él mismo como hacker, como héroe (…) incluso acaba de dar una conferencia el pasado lunes en la Universidad de Harvard, que se titula ‘hacker o héroe’”, pronunció.

Sin embargo la conferencia fue el lunes 18 de abril y se tituló “Down the Rabbit Hole: My Foray into the World of Data Breaches, Security, and Privacy” (Dentro de la madriguera de conejo: Mi incursión en el mundo de las violaciones de datos, seguridad y privacidad).

“La promocionaban diciendo ‘hacker o héroe’, pero ese no fui yo, fue el edificio CGIS (Center for Government and International Studies) que le pusieron así, porque en el sumario del evento querían sugerir que era un hacker o héroe y así la gente estaría interesada en lo que tenía que decir”, aclaró Vickery.

Sin pagar multa

Al cuestionar al zacatecano Jorge Álvarez Máynez, de si se tomarán medidas al interior de su partido con el reciente suceso informático,  ya que esta es la segunda ocasión que se filtra un padrón electoral desde MC, explicó que no han tomado ese tipo de injerencias.

“No es la segunda vez que sucede, porque la otra vez la vinculación que se intentó hacer de Movimiento Ciudadano con el caso de buscardatos.com jamás se probó, nosotros sostenemos que no hay una sola prueba de que Movimiento Ciudadano tenga algo que ver, no hay nexo con ese caso y este asunto de que es la segunda vez, no lo aceptamos”, espetó.

En febrero pasado el INE impuso la multa de 76 millones de pesos al MC por negligencia en el resguardo del padrón electoral, ya que en 2013 se encontró el mismo en el sitio web referido por Álvarez Máynez.

El también diputado federal comentó que “se nos multó de manera ilegal” por lo que se impugnó la decisión ante el Tribunal Electoral del Poder Judicial de la Federación y no se ha pagado la multa al día de hoy, ya que se espera el resolutivo, todavía sin fecha definitiva. 

Sigue leyendo…

> Indatcom está ligada a Alfaro Por Luis Herrera

Reporte Indigo publicó el día de ayer la entrevista de Vickery, donde el especialista resalta que no es un hacker y la información estaba sin protección de por medio.

> Todos expuestos Por Hidalgo Neira