Filtración de la Lista Nominal del Padrón Electoral del INE en Servidores de Amazon

El pasado 23 de Abril,, el portal Databreaches.net dio a conocer la filtración de una copia de la Lista Nominal del Padrón Electoral del Instituto Nacional Electoral (INE) en un servidor Cloud de la empresa Amazon en Estados Unidos. De acuerdo con ese portal, la fuga fue descubierta por Chris Vickery, Investigador en seguridad informática del MacKeeper Security Research Centre, la cual la dio a conocer a través de su blog y un video donde señala haber tenido acceso a la información de más de 93 millones de personas mediante un archivo con un tamaño aproximado de 132 Gigas el pasado 14 de Abril de 2016. La información  estuvo públicamente accesible varios días ya que no contaba con ninguna contraseña o método de autenticación alguno para su protección. Vickery indicó que se puso en contacto con el Departamento de Estado en los EUA, la Embajada de México en Washington y el propio Instituto Nacional Electoral (INE) para reportar este incidente y después de insistir acerca del riesgo de que la información estuviera públicamente abierta- inclusive con el US-CERT y el Department of Homeland Security y la empresa Amazon-, el acceso al archivo electrónico no fue completamente bajado sino hasta la madrugada del pasado viernes 22 de Abril.

El diario mexicano el Universal reporta que con base en una entrevista de radio en el programa de Joaquín López Dóriga de Radio Fórmula: “El Consejero del INE Ciro Muramaya indicó que tiene identificada la copia de donde provienen los datos  de la Lista Nominal que aparecieron en los servidores de Internet de Amazon y que la identidad del responsable se dará a conocer cuando termine la indagatoria para no alertar al autor de la filtración.”

El Consejero Ciro Murayama ha aclarado a diversos medios de comunicación que “la copia no proviene de los datos del INE, sino de los otorgados a los partidos políticos. Así es. Tampoco se trata de cuestionar al conjunto de los partidos políticos, en general son muy cuidadosos; en este caso es una persona en específico.”

El Director Ejecutivo del Registro Federal de Electores, René Miranda Jaimes ha explicado a diversos medios que: “en las copias que se generan y se entregan, existen por primera vez, a partir de la entrega del 2015, candados de seguridad que yo estoy seguro nos permitirán identificar plenamente la copia de la que estamos hablando, y en su caso, sancionar al responsable”. Como parte de las indagatorias, agregó el funcionario electoral que “solicitaron a Amazon información sobre quién contrató el espacio de almacenamiento en la nube, así como la frecuencia y el origen de las consultas.”

Ciro Murayama indica que “a cada copia se le siembran algunas particularidades para ubicarla con toda precisión en caso de uso indebido”. Agregó que “se trata de una copia proporcionada por el INE, y cada copia tiene una huella dactilar que la hace única, contiene una serie de datos que permiten diferenciarla de las que se entregan a otros partidos.”

Todo parece indicar que no fue un hackeo a los sistemas informáticos del INE, sino que se trata de la filtración de una copia de las Listas Nominales de Electores que el INE entrega en formato electrónico a los partidos políticos por disposición legal el 15 de Febrero de cada año. De acuerdo con diversas fuentes consultadas, el INE ya interpuso una denuncia ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), se dio aviso a la Policía Cibernética y a la Unidad Técnica de lo Contencioso Electoral del INE y ya se ha iniciado un procedimiento ordinario sancionador para que se impongan las sanciones que correspondan a los responsables. Sin embargo, hasta ahora todavía no se conoce la identidad de la persona ni su afiliación al partido político que filtró la información de la Lista Nominal en los servidores Cloud de Amazon.

Vale la pena destacar que conforme al Art. 483 de la Ley General de Instituciones y Procedimientos Electorales las sanciones aplicables a servidores públicos podrían consistir en:

a) Apercibimiento privado o público;

b) Amonestación privada o pública;

c) Sanción económica;

d) Suspensión;

e) Destitución del puesto; e

f) Inhabilitación temporal, hasta por cinco años, para desempeñar empleos, cargos o comisiones en el servicio público

De acuerdo al Art. 484 de ese ordenamiento, las faltas y sanciones deben ser valoradas, y en su caso, sancionadas conforme a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

Esta no es la primera vez que se filtran datos e información del padrón electoral y de información personal de ciudadanos mexicanos en Internet.

En Noviembre de 2013 fue el portal Buscardatos.com que permitía buscar y obtener los datos e información de ciudadanos mexicanos, argentinos, chilenos y paraguayos en forma gratuita. Para información más detallada ver la siguiente entrada en ProtDataMx

En 2010, se reveló la venta de las bases de datos e información del padrón electoral del entonces Instituto Federal Electoral (IFE) en el barrio de Tepito. Ver la siguiente nota del diario La Razón.

El caso Choicepoint en 2003 en donde dicha empresa adquirió la base de datos del padrón electoral a través de un empleado del anterior IFE. Ver la siguiente entrada en Blog de Privacidad y Protección de Datos de Cristos Velasco

Y la pregunta es ¿hasta cuando más debemos tolerar este tipo de situaciones y dejar impunes a los responsables de poner en riesgo nuestra información personal?

Es muy probable que una copia de lista filtrada en los servidores de Amazon ya este circulando en el mercado negro y en el Dark Net por lo que recomendamos a la población estar muy alerta para evitar situaciones como robo de identidad, extorsiones telefónicas y fraudes financieros.

Algunas de las fuentes de información consultadas para la redacción de esta entrada son:

The Daily Dot (En Inglés) (En Español)

El Universal

El País

El Financiero

Reforma

Excélsior

Proceso

Animal Político

Forbes México

Radio Fórmula

Aristegui Noticias

Milenio

Entérate México

Expansión