12,000
costaba en Tepito el listado actualizado del IFE, en 2010"No es una falla informática; es más un descuido de alguien que no puso candados de seguridad”
"Está allá afuera (la información) porque los humanos son flojos(...), yo no hackeo nada, solo encuentro cosas que están ahí afuera, accesibles al público”
Desde septiembre de 2015 es que estaba la base de datos en línea, sin ninguna contraseña o encriptada, accesible al ojo público que la encontrara
¿Se imagina su foto, edad, nombre y dirección en manos de un criminal?
En esta época una de las formas más fáciles de suplantar la identidad de un ciudadano es teniendo sus datos personales.
Esos que el Instituto Nacional Electoral (INE) del País debe guardar con toda reserva.
Esos para los que incluso está por concretarse una reforma a la Ley de Protección de Datos Personales para sancionar el mal uso de esta información.
El 14 de abril el texano Chris Vickery, de 31 años, encontró la mina de oro. Lo que cualquier miembro del crimen organizado pagaría por tener en sus manos.
La diferencia es que el estadounidense lo encontró de manera gratuita, sin contraseña, sin dinero de por medio ni restricciones.
Vickery se topó con el padrón electoral del 2015 del INE de manera íntegra en los servidores de almacenamiento de Amazon. No tenían ningún tipo de encriptación o paso de seguridad. La base de datos le llamó la atención por pesar 132 gigabytes (GB) y estar disponible bajo el nombre “padron2015”.
Para el experto en seguridad computacional, ésta es la evidencia de que México es vulnerable ante los hackers internacionales: “La base de datos del INE podría ser peligrosa en las manos equivocadas”, afirma en entrevista.
El INE, que encabeza Lorenzo Córdova, no ha informado cómo se originó la mayor filtración de datos personales en la historia de México.
‘No soy hacker’
Desenfadado, sin aires de uno de esos rockstars de las redes sociales insiste en que no pueden llamarlo hacker.
Es más una especie de vouyerista de la red. Un intruso que disfruta de buscar todo tipo de archivos e información.
“Está allá afuera (la información) porque los humanos son flojos, ese es el por qué (…) soy más como un periodista que un hacker, porque yo no hackeo nada, solo encuentro cosas que están ahí afuera, accesibles al público”, explica Vickery.
Para el investigador de seguridad que trabaja en la empresa MacKeeper, encontrar este tipo de información no es extraño. En diciembre de 2015 dio con todo el registro de votantes de los 50 estados de su País.
“Estaba también sin protección”, ironiza.
Sin embargo en Estados Unidos la información personal no se encuentra tan clasificada o restringida como en México, en donde existe una sanción penal de hasta 12 años para quien utiliza estas bases de datos para su beneficio personal.
Cuando dio con el padrón electoral mexicano avisó al Departamento de Estado de Estados Unidos, a la embajada de México en Washington, al INE y a Amazon.
Hasta una semana después del hallazgo, el 22 de abril, se dio de baja el contenido en la nube de la compañía fundada por Jeff Bezos y el investigador computacional publicó su experiencia en el blog de la empresa para la que labora.
En entrevista telefónica desde Austin, Texas, Vickery detalla cómo fue que encontró el listado de votantes del INE sin ninguna protección o candado.
Desde su computadora utilizó un motor de búsqueda pública llamado Shodan, con el que se encuentran archivos en internet de distintos servidores.
El parámetro de búsqueda que introdujo en Shodan fue el puerto 27017, el cual está asociado a la búsqueda de datos NoSQL de MongoDB. Este código especializado en documentos está disponible en sistemas Windows, OS X, Linux y Solaris.
“Estaba buscando al azar y de pronto me topé con algo llamado ‘padron2015’ y lo único que sé o que me refería de manera cercana a esa palabra era el Tequila Patrón, lo cual tomó mi curiosidad, lo abrí y me topé con estos archivos de registro”.
Shodan es un portal abierto que sirve para encontrar dispositivos y servidores, además de hurgar dentro de otras plataformas de búsqueda como Google, por lo que al especificar un rastreo, se puede dar con bases de datos, sistemas de control de cámaras de seguridad en tiempo real, entre otro tipo de aparatos como routers, todo de manera legal.
El control de la información
La base de datos del INE estuvo disponible desde septiembre del 2015, asegura, pues así lo revelaba la dirección de IP de la nube donde estaba.
No hay información para determinar cuántas veces fue descargado el listado de votantes, por lo que se desconoce quién más pueda contar con la dirección, nombre completo, fecha de nacimiento y foto de 93 millones de mexicanos.
En el mercado negro del internet, dice Vickery, ese tipo de información podría tener un costo de “alrededor de 100 mil o 200 mil dólares”.
“No es una falla informática”, asegura, “es más un descuido de alguien que no puso candados de seguridad”.
INE hackeado en Twitter
El error informático de la dependencia federal recién sacado a la luz pública, no fue el primero con el que estuvo vulnerable en el mundo cibernético.
Durante las elecciones intermedias del 2015, la cuenta de Twitter del INE fue hackeada momentos antes de anunciar los resultados preliminares de los votantes.
En la red de 140 caracteres se subió la imagen de la modelo noruega Linn Beate Sejrup Riley, que duró en línea por un lapso de un minuto y momentos después el INE anunció que su cuenta había sido comprometida, sin nunca aclarar el daño o esclarecer a los culpables.
Mexicanos expuestos
La filtración del listado de votantes y el escándalo que se ha generado en torno a este episodio en el control de información del INE, no es nuevo para su antecesor, ya que el IFE ya había sufrido de la vulnerabilidad y la exposición de los datos de los mexicanos.
En el año 2010 El Universal develó que en Tepito se vendía el listado actualizado en 12 mil dólares, en tres memorias externas de 160 GB cada una, los documentos además contenían el registro vehicular y licencias de conducir, de todo México.
Además en 2013 se encontró la base de datos de votantes del IFE en el sitio web buscardatos.com el cual tiene su sede en Suecia. De esta filtración se comprobó que el partido Movimiento Ciudadano (MC) fue quien subió el listado.
El INE después de tres años de proceso legal, dictaminó que MC no expuso la información con dolo, ni se comprobó la venta del padrón, por lo que solo se les multó con 76 millones de pesos.
Sigue leyendo…
> ¿Qué dice la nueva Ley de Datos Personales? Por Julio Ramírez
> ‘Ladrones buscan hasta en la basura’ Por Julio Ramírez