México
VICE NEWS

¿Qué hacía el Padrón Electoral 2015 perdido en la nube? La historia del hacker que lo halló

23/04/2016 - 6:31 pm

No está claro si alguna otra persona que no fuera Chris Vickery –un hacker e investigador de seguridad– consultara y descargara los datos. Pero cualquiera pudo verlos, por días, quizás semanas o incluso meses.

El ciudadano estadounidense dijo que una línea de motores de búsqueda mostró que estaba disponible una base de datos en la misma dirección IP desde septiembre de 2015.

Por Lorenzo Franceschibicchierai

Ciudad de México, 23 de abril (SinEmbargo/VICEMedia).– La mañana del 14 de abril, Chris Vickery, un hacker e investigador de seguridad, estaba navegando en Shodan, un motor de búsqueda de dispositivos y servidores conectados a Internet, cuando notó una inusual gran base de datos de más de 100 gigabytes, en un almacenamiento de nube de Amazon llamado “padron2015”.

Al final resultó que la base de datos contenía la información personal, incluyendo nombres completos, direcciones y números de identificación de ciudadanos, de prácticamente la totalidad de votantes registrados en México. La información había quedado completamente abierta a cualquier persona, ya que no había contraseñas o cualquier otro tipo de protección para la misma.

“Se trata de una base de datos de registro de votantes de México”, dijo Vickery, que trabaja como investigador de seguridad en MacKeeper, y recordó diciéndose a sí mismo. “¡Santo cielo! Esto no debería estar ahí”.

La autoridad electoral mexicana – el Instituto Nacional de Electoral (INE) – confirmó el viernes que los datos eran legítimos. La base de datos era el Padrón Electoral, una lista de todos los mexicanos registrados para votar hasta febrero de 2015. La lista se había distribuido a todos los partidos políticos en México el año pasado, de acuerdo a las disposiciones electorales vigentes, según René Miranda Jaimes, el director ejecutivo del Registro Federal de Electores (RFE), que forma parte del INE.

“Tenemos algunos agujeros de seguridad espectaculares en nuestra ley”, dijo Miranda Jaimes en una llamada telefónica. “Por un lado tenemos que garantizar la confidencialidad de la información, pero por otro lado tenemos que dar una copia completa a los partidos políticos”.

Miranda Jaimes explicó que la base de datos está completamente fuera de línea, desconectada de Internet, y cuando el INE la entrega la envía en discos duros, CD-ROM o unidades USB. También dijo que, si bien la base de datos encontrado por Vickery es de 93.4 millones de entradas, el número de votantes registrados el año pasado fue de unos 80 millones.

No se sabe desde cuando el Padrón Electoral mexicano se encontraba en internet. Imagen: VICE
No se sabe desde cuando el Padrón Electoral mexicano se encontraba en Internet. Imagen: Chris Vickery

Después de que Vickery informara a las autoridades mexicanas de la existencia de la base de datos en el servidor de la nube de Amazon, los datos fueron bajados el viernes por la mañana. No está claro si alguna otra persona que no fuera Vickery consultara y descargara los datos, pero cualquiera puedo verlos, por días, quizás semanas o incluso meses. Vickery, quien relató en un blog sus intentos para informar este problema y obtener los datos, dijo que una línea de motores de búsqueda mostró que estaba disponible una base de datos en la misma dirección IP desde septiembre de 2015.

No está claro que haya subido los datos en el servidor de Amazon, pero Miranda Jaimes dijo que cuando el INE normalmente distribuye los datos lo hace con marcas de agua en cada copia y con diferentes datos falsos, por lo que los investigadores deberán ser capaces de identificar a quien lo subió o que, al menos, perdió el control de la misma.

“Esa información no debe ser pública”, dijo Miranda Jaimes. “Los partidos políticos tienen que ser responsables y evitar poner en peligro estos datos”.

El INE inició una investigación y presentó una denuncia después de descubrir la base de datos. El responsable de la filtración podría ir a prisión, de acuerdo con la legislación mexicana.

Por otra parte, los datos son potencialmente muy sensibles.

“El secuestro es un problema considerable en México, y permitir a los cárteles descargar copias de esta base de datos podría resultar desastroso”, escribió Vickery en su blog.

Esta no es la primera vez que los datos de los votantes mexicanos se filtran en Internet. En 2013, un sitio web llamado buscardatos.com obtuvo una base de otros votantes a partir de 2010. El sitio permite que cualquiera pueda encontrar la información personal de alguien introduciendo el nombre. Anteriormente, en 2003, el broker de datos ChoicePoint vendió los datos de los votantes mexicanos al Gobierno de Estados Unidos.

Y no es sólo México el que está perdiendo datos potencialmente sensibles de sus ciudadanos. Vickery mismo encontró una base de datos de 191 millones de votantes estadounidenses el año pasado. Y hace tan sólo unas semanas los hackers burlaron a la autoridad electoral en Filipinas, tomaron los datos personales de 21 millones de personas, incluidos 5.6 millones de huellas dactilares.

Es por eso que Vickery dijo que estaba “sorprendido” cuando se encontró con la base de datos.

“Me di cuenta que todo el mundo estaría adoptando fuertes medidas contra los datos de sus países que ahora se está empezando a convertirse en un problema”, dijo en una llamada telefónica. “Pero supongo que veremos más casos de estos.”

PROMO PADRÓN AMAZON

ESTE CONTENIDO ES PUBLICADO POR SINEMBARGO CON AUTORIZACIÓN EXPRESA DE MOTHERBOARD DE VICE. Ver ORIGINAL aquí. Prohibida su reproducción.

en Sinembargo al Aire

Opinión

Opinión en video

más leídas

más leídas