a dirigencia de Movimiento Ciudadano (MC), que preside Dante Delgado, reconoció ayer que fue ese partido político el que colocó la base de datos con el listado nominal de electores en un servidor de Amazon Web Services, sitio en el que fue hallado el pasado 14 de abril por el informático estadunidense Chris Vickery, empleado de la empresa de seguridad informática MacKeeper, abierto a la consulta pública. Vickery comunicó el hallazgo a la embajada mexicana en Washington, a las autoridades del país vecino, a la propia empresa proveedora de almacenamiento y al Instituto Nacional Electoral (INE), pero no fue sino 10 días después que el listado fue retirado.
Ello significa que los datos personales (nombre, dirección, clave de elector, ocupación, fecha de nacimiento) de decenas de millones de mexicanos estuvieron expuestos a todo aquel que los encontrara, y disponibles para consulta sin ninguna restricción. Se trata de una vulneración mayúscula y peligrosa a la privacidad y la confidencialidad de, literalmente, todos los ciudadanos del país.
Según su explicación, MC decidió realizar la salvaguarda de seguridad
del listado nominal que le había sido entregado por el INE y para ello pidió asesoría a la empresa Indatcom, la cual le habría propuesto recurrir a los servidores de Amazon. Una vez aceptada la sugerencia, la firma asesora se habría encargado de contratar el servicio de la empresa estadunidense, de subir a los servidores de ésta la base de datos y de entregar las contraseñas y el control del servidor al área informática del partido.
A decir del instituto político, el 22 de abril fuimos informados (por Indatcom) que Amazon Web Services notificó que el servidor contratado había sufrido un asalto cibernético
y que la información salvaguardada estaba comprometida por un ataque externo
perpetrado con “métodos altamente especializados, característicos de hackers profesionales”.
Lo anterior no concuerda con lo relatado por quien descubrió en Amazon la base de datos abierta a consulta ni con la lógica de operación de los piratas informáticos, quienes no suelen vulnerar los mecanismos de protección de una información determinada sólo para ponerla a disposición del público: por norma general, los hackers roban la información o bien la divulgan desde servidores distintos a aquellos de los que fue sustraída, previa reivindicación de sus acciones. A la espera de los posicionamientos de Indatcom y de Amazon –su director ejecutivo, Jeffrey Preston Bezos, ya se había deslindado de los hechos, al señalar que no son responsabilidad de su empresa–, la versión del ataque informático resulta, pues, un tanto débil.
Cabe recordar, por otra parte, que MC ya había sido sancionado por permitir la filtración del padrón electoral. En julio de 2013 se descubrió que una copia de la base de datos entregada a ese partido estaba siendo comercializada en el sitio buscadatos.com y a raíz de ello el INE impuso al partido de Dante Delgado una multa de 76 millones de pesos, castigo que está actualmente en revisión en el Tribunal Electoral del Poder Judicial de la Federación.
Por ahora resulta urgente determinar si en los días en que el listado nominal permaneció sin resguardo alguno se realizaron copias de esa información y, en su caso, localizarlas. Más allá de la coyuntura, se debe esclarecer sin lugar a dudas a quién corresponde la responsabilidad del preocupante suceso y actuar en consecuencia. Finalmente, el epsiodio deja en claro la necesidad de reforzar las disposiciones legales y las medidas de seguridad para preservar la confidencialidad de las bases de datos que contienen información privada de ciudadanos, consumidores, causantes y suscriptores de servicios.