La Inteligencia Artificial ha llamado la atención de varios países,…
Padrón electoral en la nube: ¿ciberproblemas a la mexicana?
La base de datos del padrón electoral para las elecciones intermedias del 7 junio de 2015 fue cerrada cuatro meses antes de la jornada electoral. Acto seguido, esta lista con los más de 80 millones de mexicanos registrados para votar fue distribuida por el Instituto Nacional Electoral (INE) a todos los partidos políticos, de acuerdo con las disposiciones correspondientes: fuera de internet, entregada en discos duros externos o CD o USB.
En septiembre, pasando las elecciones, la base de datos de los electores fue subida en una cuenta a un servidor de la nube de Amazon, donde permaneció hasta la semana pasada, fecha en la que fue descubierta por un investigador haciendo labores de hacker[1] sobre bases de datos para depurar problemas de seguridad. Pero, ¿qué significa este problema en un contexto tecnológico de escala nacional? ¿Qué antecedentes tiene? ¿Qué nos dice de la seguridad y el manejo de nuestros datos?
Base de datos en la nube: Separemos los hechos de las interpretaciones
El pasado 14 de abril, Chris Vickery, investigador de seguridad de MacKeeper, utilizó Shodan, un motor de búsqueda para dispositivos y servidores conectados a internet, para revisar diversos archivos que presentaron el error de configuración MongoDB dentro de Amazon Web Services (AWS), el negocio multimillonario del gigante tecnológico que usan desde Netflix y Spotify para configurar sus servicios de streaming, hasta emprendedores que quieren construir el nuevo Google, como la CIA y los periodistas que expusieron los Panama Papers. (Ragan, 2016)
Entre los archivos que revisaba, Vickery encontró algo singular: el archivo “padron2015”, que contenía una base de datos de 132 GB, con la información personal de 93.4 millones de mexicanos, a saber: Clave de Elector, Folio Nacional, nombre completo, fecha y lugar de nacimiento, sexo, ocupación, dirección completa, tiempo de residencia, entidad, distrito, municipio, sección, localidad, número de emisión de credencial y fecha de inscripción en el padrón. Las fotografías de los electores no estaban en ese archivo.
Ante la imposibilidad de saber qué persona o compañía fue responsable de subir la información a la nube, el investigador contactó a diferentes instancias, entre ellas el Departamento de Estado, el Servicio Exterior Mexicano, el INE y Amazon. Después de 8 días de diligencias, en la que buena parte de los medios y el público en general conocieron que la base de datos estaba en la nube, el archivo fue dado de baja.
Es oportuno aclarar que la base de datos no estaba a la venta en internet y, por el contrario, quien tuviera el vínculo podía accederla y descargarla libremente, sin contraseñas u otro tipo de protección. Dado que estuvo más de medio año disponible en la nube y que parte de la información de acceso es restringida y debe ser liberada por Amazon, no es posible saber cuántas personas entraron al archivo o lo descargaron. (MacKeeper, 2016)
El INE aseguró que ha estado en contacto con Amazon para saber quién contrató ese espacio, la frecuencia de consulta y la información adicional que pudieran tener, para luego señalar que ya identificaron al culpable, pero que no dirán su nombre para no alertarlo.
Antecedentes de venta y manipulación de padrones
El surgimiento de este tema, en principio, hizo temer lo peor, recordando una historia conocida. En lo que se convirtió en un incidente internacional en 2003, los países latinoamericanos conocieron que ChoicePoint, compañía estadounidense de integración de datos, hoy llamada LexisNexis Risk Solutions, estaba comprando y vendiendo la información de ciudadanos de varios países. Esta compañía, que está continuamente bajo el escrutinio del gobierno estadounidense, mantiene 17 mil millones de registros de personas y empresas, que comercializa a unos 100 mil clientes. Ésta fue la primera vez que la información de miles de electores mexicanos estuvo a la venta.
De acuerdo con el abogado Héctor Guzmán, ha habido otros antecedentes con respecto a los padrones electorales. En 2010 hubo un quebranto a la seguridad de una página de internet que resultó en la extracción de gran cantidad de información, misma que estuvo a la venta. En mayo de 2012, el gobierno mexicano investigó sobre una lista que se había encontrado a la venta. En noviembre de 2013, el medio Global Voices notificó que parte del padrón estaba a la venta en buscardatos.com. (DataBreaches, 2016)
En un caso muy sonado en 2015, por ser considerado el mayor robo de identidad en la historia de México, el Partido Verde utilizó la base de datos del INE para, con datos de unas 16 mil credenciales de elector de chiapanecos, se diera de baja a votantes de la lista nominal y se les diera de alta como residentes en el extranjero. Así, chiapanecos que nunca han salido del país aparecieron como residentes de Estados Unidos, pero también de Uganda, Vietnam, Angola, Liberia, Trinidad y Tobago, República Checa y Armenia. (Animal Político, 2016)
Pasaportes mexicanos, otro dolor de cabeza
En abril de 2012 y después de un concurso desierto, la Secretaría de Relaciones Exteriores (SRE) realizó la licitación para el último contrato de servicio 2012-2014 de los llamados “pasaportes del siglo pasado”, debido a que no habían tenido cambios en sus medidas de seguridad en prácticamente dos décadas. El dictamen fue por 65 millones de dólares (mdd) al consorcio ganador formado por las empresas Vangent y Mainbit, que fueron proveedoras de Enciclomedia, de las credenciales del IMSS, entre otros proyectos. (Fuentes F. , 2015)
En marzo de 2015, la primera licitación 2015-2018 para modernizar los pasaportes a “este siglo” fue declarada desierta debido a que los consorcios licitantes no cumplieron los requisitos técnicos. Ante la inconformidad de varias partes, se relanzó una licitación exprés para abril, en la que los consorcios interesados ofrecieron descuentos significativos de sus cotizaciones originales, que iban del 3 al 28%. (Fuentes V. , 2015)
La alemana Veridos México, en consorcio con 6 empresas nacionales y extranjeras, ganó la licitación por un rango de 65-81 mdd antes de impuestos, que fue una de las propuestas económicas más altas, mientras que las titulares anteriores Mainbit y Vangent propusieron en consorcio un rango de 57-68 mdd, que fue calificada en el segundo lugar. (AMDAID, 2015)
Mainbit impugnó el fallo ante la Secretaría de la Función Pública, bajo el argumento de que la propuesta ganadora era muy costosa y que no hubo claridad respecto a la puntuación obtenida por cada empresa. También protestó con el argumento de que “Veridos perdió la base de datos con la información estratégica para fines de seguridad nacional de los ciudadanos”, y que la suya es la única que la posee ahora. (Celis, 2015) Otros jugadores y esa secretaría lo vieron como una especie de chantaje. La SRE había pedido anteriormente que el consorcio migrara los datos y sistemas hacia servidores propios de la Cancillería.
El consorcio de Veridos comenzó su operación en octubre, pero el tema volvió a tomar relevancia en noviembre, cuando el sistema comenzó a alentarse (trabajando al 20% de su velocidad), por lo que sólo se atendieron trámites de emergencia. Miles de personas se vieron afectadas. A partir de ello, la SRE se vio obligada a contratar a Softek como segunda empresa, con el objetivo de estabilizar la emisión de pasaportes. El sistema se restableció paulatinamente, aunque para arreglarlo se tuvo que recurrir temporalmente al mismo “sistema de pasaportes del siglo pasado”.
Conclusiones
Como se ha visto reflejado aquí, las bases de datos con información sensible de la población mexicana están continuamente sujetas a filtraciones, extracciones, conflictos de interés, licitaciones con transiciones conflictivas y malos manejos, generalmente sin determinación de culpables y castigo asociado.
Antes se hablaba de la venta de bases de datos para empresas de marketing que hacen campañas publicitarias y propaganda política. Ahora, con los antecedentes dados, se encuentra que la presencia del padrón electoral en la nube era el siguiente paso esperable en tamaño y sofisticación.
De poco sirve insistir tanto en leyes sobre protección de datos e información confidencial si las autoridades y los partidos políticos no están dando el ejemplo de cumplir cabalmente con sus leyes. Por ello, es deber de los ciudadanos y la sociedad civil ayudar a garantizar el manejo cuidadoso de la información. Algunas preguntas que se deben explicar son:
- ¿Quién subió a la nube los datos confidenciales de más de 90 millones de mexicanos?
- ¿Con qué fin lo hizo?
- ¿Qué riesgos –en su seguridad, integridad y patrimonio–a tienen las personas que se van a empadronar?
- ¿Cuántas personas y quiénes son quienes tienen acceso a esos datos? ¿Qué pueden hacer y no hacer con ellos?
- ¿Qué medidas se están tomando para que esto no vuelva a suceder?
- ¿Cómo se va a castigar ejemplarmente a los culpables de estos delitos?
- ¿Se pueden dar los datos a las autoridades con confianza sobre su uso?
Aun si no hay responsables o consecuencias, el tema no está agotado. Es interesante que la legislación internacional sugiere que la información que pasa a través de servidores en el extranjero y que pudiera ser parte de un delito, es de interés para el país en el que se encuentran o por el que pasan los servidores.
En esta ocasión, alguien sacó la información que maneja el gobierno y la puso en servidores de la estadounidense Amazon, por lo que existe el potencial para que se abra una investigación de oficio. Más aún, el 70% del tráfico de internet del mundo pasa por servidores en la región del norte de Virginia, a un costado de la capital estadounidense, por lo que éste no será el último caso. (Burrington, 2016)
Pero con todo y esto, quizá México tiene menos sofisticación para atender los problemas más modernos de la ciberseguridad: ataques indiscriminados, ataques destructivos, ciberguerra, espionajes gubernamental y corporativo, robo de electrónicos y credenciales de entrada, robo de tarjetas de crédito y registros médicos, así como hacktivismo. Pero, ¿cómo han impactado esas amenazas al mundo? ¿Cuál es la situación de México frente a ellas? Y, ¿qué puede hacer un usuario común de internet ante ellas? Esas preguntas serán analizadas en la siguiente columna.
[1]Para efectos de esta columna, se definirá “hacker” a aquella persona involucrada en la elusión de la seguridad informática. En un sentido amplio, se trata de personas no autorizadas que accesan a ordenadores remotos a través de internet, pero también a aquellas personas que depuran o solucionan problemas de seguridad. Entre ambas funciones y objetivos existen dilemas éticos y morales.
Trabajos citados
― Celis, D. (23 de noviembre de 2015). Mainbit y Vangent chantajean . Obtenido de Excélsior Dinero en Imagen.
― AMDAID. (05 de mayo de 2015). Testimonio Público sobre la Licitación LA-005000999-T45-2015 – Academia Mexicana de Auditoría Integral y al Desempeño, A.C. Obtenido de TestigoSocial.org.mx.
― Animal Político. (1 de marzo de 2016). Desde Angola y Vietnam: el fraude en la lista de votantes en el extranjero de Chiapas. Obtenido de Animal Político.
― Burrington, I. (08 de enero de 2016). Why Amazon’s Data Centers Are Hidden in Spy Country. Obtenido de The Atlantic.
― DataBreaches. (22 de abril de 2016). Personal info of 93.4 million Mexicans exposed on Amazon . Obtenido de DataBreaches.net.
― Fuentes, F. (23 de marzo de 2015). Controvertida licitación del pasaportes mexicano. Obtenido de Milenio Diario.
― Fuentes, V. (8 de abril de 2015). Ofrecen a SRE descuentazos en pasaportes. Obtenido de Terra Noticias.
― MacKeeper. (22 de abril de 2016). BREAKING: Massive Breach of Mexican Voter Data. Obtenido de MacKeeper Blog.
― Ragan, S. (22 de abril de 2016). MongoDB configuration error exposed 93 million Mexican voter records. Obtenido de CSO News.
Publicada el 26 de abril de 2016 en Forbes México.