lunes, abril 25, 2016

Las preguntas pendientes sobre la filtración del padrón electoral.

Como muchos nos enteramos la semana pasada, a través de medios internacionales y horas después por medios nacionales, la filtración del padrón electoral del 2015, donde por un lapso indefinido de tiempo, estuvo expuesta en Internet dentro de los servicios de nube de Amazon y en voz de Chris Vickery quien encontró y notificó a las autoridades, (primeramente estadounidenses y después a las mexicanas) la base no tenía ningún elemento de protección, no contaba con una contraseña o algún otro método que evitara que ojos no autorizados tuvieran acceso a la información de al menos 81 millones de mexicanos, básicamente el total de la población de 18 años en adelante.

Chris fue uno de los que pudo encontrar la base a través del buscador especializado llamado Shodan, un buscador al que tienen acceso millones de personas que a diferencia de Chris no necesariamente todos siguen una línea ética al encontrarse con este tipo de información, algunos usuarios de este buscador hacen uso malicioso de la información encontrada, que van desde robar para vender la información, atacar los servicios o servidores vulnerables, usarlos como pivote, etc., etc. por esta y otras razones nos quedan muchas preguntas pendientes, que las autoridades deben responder y donde se debe llegar a sus últimas consecuencias, con sanciones ejemplares a todos los responsables y no solo sanciones monetarias, pues esto no es cualquier cosa.

Muchos no dimensionan la gravedad del asunto, pero tan solo imagina que los nombres completos, dirección y fecha de nacimiento de tus seres queridos y los tuyos propios, terminen en manos de criminales. Todos sabemos cómo está la situación en el país, donde las amenazas, extorsiones, secuestros son problemas serios y este tipo de filtraciones lejos de ayudar, nublan el ambiente. Esta filtración debe ser tratada como lo que es, un problema de seguridad nacional y no hay un único culpable, ¿qué pasaría si se le da a conducir un autobús escolar a un adolescente y este colisiona? ¿se culparía solo al conductor? Así pues en este caso, no solo es culpable la persona que subió la base a los servidores de Amazon, hay muchos responsables detrás.

Esta no es la primera vez que el padrón electoral es filtrado, el padrón del 2010 terminó en Internet y se multó por 76 millones de pesos a Movimiento Ciudadano antes Convergencia por negligencia en su resguardo, creo que ya es hora de que se tomen otras meddas para que esto no vuelva a ocurrir, ni en el INE ni en cualquier otra entidad gubernamental, a los particulares se les ejerce mucha presión en materia de seguridad de datos personales, pero el gobierno ha probado una y otra vez no darle la importancia que se merece.

Las preguntas que quedan en el aire son muchas, pero a continuación listo algunas que se me ocurren de inicio.

Comencemos con algunas aclaraciones:
¿Cuál es la información que contiene el Padrón Electoral filtrado?

Por un screenshot compartido por Chris, podemos observar que la base contiene al menos los siguientes campos:
Nombres
Apellido Paterno
Apellido Materno
Nombre
Fecha de Nacimiento
Lugar de Nacimiento
Sexo
Ocupación
Calle
Número exterior
Número interior
Colonia
Código Postal
Tiempo de Residencia
Entidad
Municipio
Sección
Localidad
Manzana
Fecha de inscripción al padrón
En Lista Nominal
Número de emisión de credencial
Fecha de Inscripción al padrón
Gemelo
Consecutivo Alfabético por sección
Clave de elector
Folio Nacional
OCR



Otra cosa importante de aclarar, es que el hecho de que la información se encontrara en servidores de Amazon, no significa que estuvieran a la venta en la tienda de Amazon. Amazon es el líder mundial en servicios de nube pública, esto es, cualquier persona u organización puede contratar un servidor e instalar y almacenar virtualmente cualquier software o base de datos que desee y esto es totalmente independiente de su tienda en línea, la base no se encontraba a la venta, solo estaba hospedada en uno de sus servidores en renta, porque alguien contrato sus servicios y subió la base de datos. Amazon no tiene ninguna responsabilidad otra que proporcionar la información que las autoridades le requieran.

Ahora bien, las preguntas que se me ocurren por el momento son:

¿Por cuánto tiempo estuvo expuesta la base de datos?
Sabemos por voz del consejero Ciro Murayama la lista nominal se debe entregar por ley el día 15 de febrero del año de elecciones federales y esta es entregada en medios físicos a los partidos políticos. Considerando las implicaciones de subir 132Gb de información en los servidores de Amazon, que incluye instalar y configurar el servidor de base de datos, subir 132Gb de información a través de un enlace de banda ancha y que el buscador Shodan indexe la base, etc., podríamos considerar que la base estaba lista a finales de febrero, así que podríamos inferir que estuvo disponible en Internet por casi dos meses. Chris Vickery dice que encontró la base el día 14 de abril de 2016 y la base fue dada de baja a primeras horas del día 22 de abril, así que con certeza sabemos que la base de datos estuvo disponible por lo menos, 8 días. Sin embargo la base de Shodan indicaba que en esa IP se encontraba una base desde septiembre del 2015, tal vez ya tenían el padrón del año pasado montado en ese servidor desde septiembre y en febrero solo la actualizaron, los fines de esto no son claros.

La historia nos ha mostrado que una vez que algo está expuesto en Internet, es casi imposible  borrarlo. ¿Cuántas copias fueron extraídas? ¿Desde dónde? Mucha información se puede extraer de los bitácoras del servidor donde se encontraba la base, pero tampoco sabremos si a partir de una copia descargada se produjeron más, así que el número de copias será casi imposible de cuantificar.

Ciro Murayama también comenta que el INE no fue “hackeado” ¿esto se supone que nos debe de dar tranquilidad? Hackeado el INE o no mi información personal y la de mi familia se encuentran en quien sabe cuántas manos ¿cómo puedo confiar mis datos a estas instituciones?

¿Hace falta modificar la ley, ya que los partidos políticos no son capaces de resguardar nuestra información personal? ¿Cómo resguardan los partidos políticos esta base de datos? ¿quién dentro del partido tiene acceso a las bases? ¿qué hacen con las bases? ¿existe una bitácora del acceso? ¿cómo se asegura el INE de que esta información está correctamente protegida?

Cualquier profesional de nuestro ramo, seguridad de la información, sabe que la información debe protegerse durante todo su ciclo de vida, nos dicen desde el INE que sus sistemas son seguros, pero el principal activo que les confiamos, está en manos de terceros no autorizados, es como decirle a Coca Cola, no te preocupes, tu fórmula secreta estuvo expuesta por quien sabe cuánto tiempo, a quien sabe cuantas personas, pero nuestra red es segura, alguien la subió pero ya sabemos quién es y lo vamos a correr, ¿cómo creen que respondería el CEO y sus accionistas?

Si esto es responsabilidad de un partido político, ¿qué sanción debe recibir este partido, ya que una multa millonaria no ha sido suficiente para cambiar la situación? ¿qué vamos a hacer, para que en lo sucesivo le pongan la atención necesaria y la protejan como es debido?

Este daño está hecho es necesario darle seguimiento y que esto no quede en el olvido como muchas cosas que suceden en nuestro país y ahora nos toca cuando menos recibir las llamadas de múltiples telemarketers ofreciéndome productos y servicios, y ojalá nunca sean llamadas de extorsión o peor aún visitas de gente indeseable en nuestros domicilios.

En la parte un poco más técnica la búsqueda que realizó Chris en Shodan fue simplemente: “'port:27017” que es el puerto de escucha por default de la base MongoDB, no estaba disponible mediante HTTP, para tener acceso simplemente se tenía que emplear el cliente de MongoDB, sin la mínima protección que cualquier ya no digamos profesional de seguridad, sino cualquier admin responsable pondría, password, IP whitelist, nada, cero. Durante una plática que Chris daba en Harvard, un mexicano presente pudo corroborar que la dirección de su papá estaba en dicha base, que la base era legítima, el resto pasará a la historia como una falla de dimensiones épicas y servirá como ejemplo de lo que no se debe hacer, no solo en México sino en el mundo.

Para más información, pueden consultar los siguientes links:

No hay comentarios.: