Las preguntas pendientes sobre la filtración del padrón electoral.
Como muchos nos enteramos la semana pasada, a través de
medios internacionales y horas después por medios nacionales, la filtración del
padrón electoral del 2015, donde por un lapso indefinido de tiempo, estuvo
expuesta en Internet dentro de los servicios de nube de Amazon y en voz de
Chris Vickery quien encontró y notificó a las autoridades, (primeramente estadounidenses
y después a las mexicanas) la base no tenía ningún elemento de protección, no
contaba con una contraseña o algún otro método que evitara que ojos no
autorizados tuvieran acceso a la información de al menos 81 millones de
mexicanos, básicamente el total de la población de 18 años en adelante.
Chris fue uno de los que pudo encontrar la base a través del
buscador especializado llamado Shodan, un buscador al que tienen acceso
millones de personas que a diferencia de Chris no necesariamente todos siguen
una línea ética al encontrarse con este tipo de información, algunos usuarios
de este buscador hacen uso malicioso de la información encontrada, que van
desde robar para vender la información, atacar los servicios o servidores
vulnerables, usarlos como pivote, etc., etc. por esta y otras razones nos
quedan muchas preguntas pendientes, que las autoridades deben responder y donde
se debe llegar a sus últimas consecuencias, con sanciones ejemplares a todos
los responsables y no solo sanciones monetarias, pues esto no es cualquier
cosa.
Muchos no dimensionan la gravedad del asunto, pero tan solo
imagina que los nombres completos, dirección y fecha de nacimiento de tus seres
queridos y los tuyos propios, terminen en manos de criminales. Todos sabemos cómo
está la situación en el país, donde las amenazas, extorsiones, secuestros son problemas
serios y este tipo de filtraciones lejos de ayudar, nublan el ambiente. Esta
filtración debe ser tratada como lo que es, un problema de seguridad nacional y
no hay un único culpable, ¿qué pasaría si se le da a conducir un autobús
escolar a un adolescente y este colisiona? ¿se culparía solo al conductor? Así
pues en este caso, no solo es culpable la persona que subió la base a los
servidores de Amazon, hay muchos responsables detrás.
Esta no es la primera vez que el padrón electoral es
filtrado, el padrón del 2010 terminó en Internet y se multó por 76 millones de
pesos a Movimiento Ciudadano antes Convergencia por negligencia en su resguardo,
creo que ya es hora de que se tomen otras meddas para que esto no vuelva a
ocurrir, ni en el INE ni en cualquier otra entidad gubernamental, a los
particulares se les ejerce mucha presión en materia de seguridad de datos
personales, pero el gobierno ha probado una y otra vez no darle la importancia
que se merece.
Las preguntas que quedan en el aire son muchas, pero a
continuación listo algunas que se me ocurren de inicio.
Comencemos con algunas aclaraciones:
¿Cuál es la información que contiene el Padrón Electoral
filtrado?
Por un screenshot compartido por Chris, podemos observar que la base contiene
al menos los siguientes campos:
Nombres
Apellido Paterno
Apellido Materno
Nombre
Fecha de Nacimiento
Lugar de Nacimiento
Sexo
Ocupación
Calle
Número exterior
Número interior
Colonia
Código Postal
Tiempo de Residencia
Entidad
Municipio
Sección
Localidad
Manzana
Fecha de inscripción al padrón
En Lista Nominal
Número de emisión de credencial
Fecha de Inscripción al padrón
Gemelo
Consecutivo Alfabético por sección
Clave de elector
Folio Nacional
OCR
Otra cosa importante de aclarar, es que el hecho de que la
información se encontrara en servidores de Amazon, no significa que estuvieran
a la venta en la tienda de Amazon. Amazon es el líder mundial en servicios de
nube pública, esto es, cualquier persona u organización puede contratar un
servidor e instalar y almacenar virtualmente cualquier software o base de datos
que desee y esto es totalmente independiente de su tienda en línea, la base no
se encontraba a la venta, solo estaba hospedada en uno de sus servidores en
renta, porque alguien contrato sus servicios y subió la base de datos. Amazon
no tiene ninguna responsabilidad otra que proporcionar la información que las
autoridades le requieran.
Ahora bien, las preguntas que se me ocurren por el momento
son:
¿Por cuánto tiempo estuvo expuesta la base de datos?
Sabemos por voz del consejero Ciro Murayama la lista nominal
se debe entregar por ley el día 15 de febrero del año de elecciones federales y
esta es entregada en medios físicos a los partidos políticos. Considerando las implicaciones
de subir 132Gb de información en los servidores de Amazon, que incluye instalar
y configurar el servidor de base de datos, subir 132Gb de información a través
de un enlace de banda ancha y que el buscador Shodan indexe la base, etc., podríamos
considerar que la base estaba lista a finales de febrero, así que podríamos
inferir que estuvo disponible en Internet por casi dos meses. Chris Vickery
dice que encontró la base el día 14 de abril de 2016 y la base fue dada de baja
a primeras horas del día 22 de abril, así que con certeza sabemos que la base
de datos estuvo disponible por lo menos, 8 días. Sin embargo la base de Shodan
indicaba que en esa IP se encontraba una base desde septiembre del 2015, tal
vez ya tenían el padrón del año pasado montado en ese servidor desde septiembre
y en febrero solo la actualizaron, los fines de esto no son claros.
La historia nos ha mostrado que una vez que algo está
expuesto en Internet, es casi imposible borrarlo. ¿Cuántas copias fueron extraídas?
¿Desde dónde? Mucha información se puede extraer de los bitácoras del servidor
donde se encontraba la base, pero tampoco sabremos si a partir de una copia
descargada se produjeron más, así que el número de copias será casi imposible
de cuantificar.
Ciro Murayama también comenta que el INE no fue “hackeado”
¿esto se supone que nos debe de dar tranquilidad? Hackeado el INE o no mi
información personal y la de mi familia se encuentran en quien sabe cuántas
manos ¿cómo puedo confiar mis datos a estas instituciones?
¿Hace falta modificar la ley, ya que los partidos políticos
no son capaces de resguardar nuestra información personal? ¿Cómo resguardan los
partidos políticos esta base de datos? ¿quién dentro del partido tiene acceso a
las bases? ¿qué hacen con las bases? ¿existe una bitácora del acceso? ¿cómo se
asegura el INE de que esta información está correctamente protegida?
Cualquier profesional de nuestro ramo, seguridad de la
información, sabe que la información debe protegerse durante todo su ciclo de
vida, nos dicen desde el INE que sus sistemas son seguros, pero el principal
activo que les confiamos, está en manos de terceros no autorizados, es como
decirle a Coca Cola, no te preocupes, tu fórmula secreta estuvo expuesta por
quien sabe cuánto tiempo, a quien sabe cuantas personas, pero nuestra red es
segura, alguien la subió pero ya sabemos quién es y lo vamos a correr, ¿cómo
creen que respondería el CEO y sus accionistas?
Si esto es responsabilidad de un partido político, ¿qué
sanción debe recibir este partido, ya que una multa millonaria no ha sido suficiente
para cambiar la situación? ¿qué vamos a hacer, para que en lo sucesivo le
pongan la atención necesaria y la protejan como es debido?
Este daño está hecho es necesario darle seguimiento y que
esto no quede en el olvido como muchas cosas que suceden en nuestro país y ahora
nos toca cuando menos recibir las llamadas de múltiples telemarketers
ofreciéndome productos y servicios, y ojalá nunca sean llamadas de extorsión o
peor aún visitas de gente indeseable en nuestros domicilios.
En la parte un poco más técnica la búsqueda que realizó
Chris en Shodan fue simplemente: “'port:27017” que es el puerto de escucha por
default de la base MongoDB, no estaba disponible mediante HTTP, para tener
acceso simplemente se tenía que emplear el cliente de MongoDB, sin la mínima
protección que cualquier ya no digamos profesional de seguridad, sino cualquier
admin responsable pondría, password, IP whitelist, nada, cero. Durante una
plática que Chris daba en Harvard, un mexicano presente pudo corroborar que la
dirección de su papá estaba en dicha base, que la base era legítima, el resto
pasará a la historia como una falla de dimensiones épicas y servirá como
ejemplo de lo que no se debe hacer, no solo en México sino en el mundo.
Para más información, pueden consultar los siguientes links:
Comentarios