Saltar al contenido

Violación masiva de datos de votantes mexicanos

04/11/2020

Ver el entrevista con Chris Vickery comentando sobre esta brecha.

Antes de continuar, dejemos una cosa muy clara. No soy yo quien transmitió los datos fuera de México. Alguien más tendrá que responder por eso. Sin embargo, hace ocho días (14 de abril), descubrí una base de datos de acceso público, alojada en un servidor en la nube de Amazon, que contenía estos registros. No se requería contraseña ni autenticación de ningún tipo. Se configuró exclusivamente para acceso público. ¿Por qué? No tengo ni idea.

Luego de reportar la situación al Departamento de Estado de EE. UU., DHS, la Embajada de México en Washington, el Instituto Nacional Electoral de México (INE) y Amazon, la base de datos finalmente se desconectó el 22 de abril de 2016.

Según la ley mexicana, estos archivos son “estrictamente confidenciales” y conllevan una pena de hasta 12 años de prisión para cualquiera que extraiga estos datos del gobierno para beneficio personal. Estamos hablando de nombres, domicilios, fechas de nacimiento, un par de números de identificación nacional y algunos otros datos.

A principios de esta semana di una charla en el edificio del Centro de Estudios Internacionales y Gubernamentales de la Universidad de Harvard, principalmente sobre el tema de las violaciones de datos. Quiso la suerte que estuviera presente un estudiante de México. Después de la charla, durante la cual había anunciado este último descubrimiento de infracción, pudo confirmar la precisión de al menos un registro en la base de datos.

Su reacción fue muy seria. Inmediatamente entendió el daño potencial que podría hacerse si esta base de datos terminara en las manos equivocadas. El secuestro es un problema considerable en México y permitir que los cárteles descarguen copias de esta base de datos podría resultar desastroso.

Después de los ataques terroristas del 11 de septiembre, Estados Unidos, por la razón que sea, adquirió una base de datos similar a través de una firma de corretaje de datos conocida como ChoicePoint. Por lo que he leído, ChoicePoint logró hacerse con la base de datos de votantes mexicanos a cambio de $ 250,000 a principios de la década de 2000.

Cuando estalló esa historia, los ciudadanos de México se indignaron de que el gobierno de los Estados Unidos tuviera los detalles privados del país. Solo puedo imaginar la furia que se producirá ahora que cualquier persona en todo el mundo podría haberlo descargado. Quiero decir, solo soy un tipo en Texas … y lo tengo.

Artículo relacionado: Encontrada otra base de datos mexicana.

Siga las noticias de seguridad en TecnologarSecurity Research Center con Chris Vickery.

  • * Nota: Gracias al administrador de databreaches.net (quien también está cubriendo esta historia en https://www.databreaches.net/personal-info-of-93-4-million-mexicans-exposed-on-amazon/ ).
  • ** Un agradecimiento adicional al periodista Adam Tanner (miembro del Instituto de Ciencias Sociales Cuantitativas de Harvard) por ponerme en contacto con el Instituto Nacional Electoral de México.

***

Atención: algunas partes de este artículo se pueden utilizar para su publicación si se hace una referencia adecuada y se da crédito al investigador de seguridad de Tecnologar: Chris Vickery.