La Secretaría de la Función Pública notificó al Inai, la oficina de protección de datos personales de México, que fue víctima de un ataque cibernético, cuyos responsables estuvieron en condiciones de hacer una copia de datos personales confidenciales de funcionarios públicos. Este incidente de seguridad incumplió la ley y Función Pública debe sancionar a los responsables.
La Secretaría de la Función Pública fue víctima de un hackeo a una base de datos que contenía información privada y confidencial de funcionarios públicos. La información privada vulnerada fue proporcionada por los funcionarios como parte de sus declaraciones patrimoniales de 2020. El o los supuestos atacantes pudieron realizar una copia de los datos personales de los servidores públicos, provocando una “vulneración de seguridad que afecta de forma significativa los derechos patrimoniales de los titulares”, se lee en la resolución de una investigación realizada por el Inai a Función Pública tras conocerse del incidente de seguridad.
Esta resolución confirma que Función Pública sufrió un incidente de seguridad de la información entre mayo y junio de 2020 que dejó expuestos datos personales confidenciales, lo que representó el incumplimiento de las fracciones III, IV, VII y VIII del artículo 163 de la ley general de protección de datos personales, todas las cuales prevén sanciones.
En la base de datos vulnerada, cita el Inai en la resolución INAI.3S.07.01.005/2020, “se observan datos que por su naturaleza son confidenciales como lo son: escolaridad, experiencia laboral, ingresos, bienes inmuebles, vehículos, bienes muebles, inversiones, adeudos, préstamo o comodato, participación, representaciones y fideicomisos de conformidad con el artículo 113, fracción I de la Ley Federal de Transparencia y Acceso a la Información Pública”.
Esta resolución, adoptada por unanimidad del pleno del Inai, también modifica la versión inicial de la secretaría, que en una nota de prensa calificó el incidente como “una forma alternativa de acceso a datos públicos”. En su argumentación durante el proceso de investigación iniciado en su contra, Función Pública señaló que “agentes externos” detectaron una vulnerabilidad en la configuración de una base de datos administrada por la secretaría, que posibilitó la realización de “un ataque técnico en el que se accedió a los índices de la base de datos, pudiéndose haberse realizado una copia de la información y se introdujo un aviso de extorsión”.
Se reveló el 4 de julio pasado que entre el 6 de mayo y el 30 de junio de 2020 estuvo disponible en internet, sin necesidad de ingresar contraseñas ni otras medidas de seguridad, una base de datos con información privada confidencial de 830,000 funcionarios públicos federales contenida en sus declaraciones patrimoniales. En su momento, el analista de ciberseguridad Bob Diachenko, quien alertó de la existencia de la exposición de la base de datos, consideró que el incidente era consecuencia de “una mala configuración de seguridad”.
Luego de conocerse el incidente de seguridad, el Inai, la oficina de protección de datos personales de México, inició una investigación para confirmar la vulneración y, en su caso, determinar la gravedad y ordenar la imposición de sanciones. El pleno del Inai determinó, el 24 de noviembre, que Función Pública había fallado en sus deberes de confidencialidad y seguridad y en cinco de los ocho principios enunciados en la ley: los de consentimiento, responsabilidad, información, licitud y lealtad.
Créditos: El economista
