En la entrega de hoy de "Epic Infosecurity #FAIL", más de 93.4 millones de ciudadanos mexicanos han visto sus datos de registro de votantes expuestos en línea debido a una base de datos mal configurada. Por qué una base de datos con información de votantes mexicanos se alojó en un servidor fuera de México, quién la subió a Amazon y por qué no estaba debidamente protegida son preguntas en busca de respuestas.
La semana pasada, el investigador de seguridad de MacKeeper, Chris Vickery, se puso en contacto con DataBreaches.net para informar que había descubierto otra base de datos MongoDB mal configurada. 132 GB de tamaño, parecía contener datos de registro de votantes de 93,424,710 ciudadanos mexicanos.
Vickery, que ha escrito sobre este incidente en el blog de MacKeeper, proporcionó a este sitio una tapa de pantalla redactada del registro de una persona:
El registro contiene el nombre de la persona, la dirección completa, la fecha de nacimiento, los apellidos de la madre y el padre, la ocupación y su código único de credencial para votar (número / identificador). México reconoce actualmente dos tipos de tarjetas de votante. Uno contiene números OCR; el otro contiene un tipo diferente de identificador formateado. Esta base de datos, denominada "padron2015", parece contener números de OCR. No se incluyeron imágenes ni información financiera en la base de datos.
Aunque no había información incluida en la base de datos filtrada que pudiera indicarnos su propietario o quién la había subido a los servicios en la nube de Amazon, los datos parecían ser datos de registro de votantes compilados por el Instituto Nacional Electoral (INE).
Después de una discusión sobre a quién notificar y cómo, Chris decidió informar su descubrimiento al Departamento de Estado y dejar que se comuniquen con sus contrapartes mexicanas en un espíritu de cooperación. Cuando no obtuvo una respuesta significativa, se comunicó con la Oficina de Asuntos Mexicanos del Departamento de Estado, quien le dijo que enviarían su alerta a lo largo de la cadena. Cuando eso aún no logró los resultados deseados para asegurar la base de datos, Chris se comunicó con el Servicio Secreto de EE. UU., El Departamento de Seguridad Nacional y el US-CERT. También se comunicó directamente con la embajada de México:
Después de que les expliqué la situación por teléfono, querían una prueba de la infracción y me dieron una dirección de correo electrónico para enviarla. Les envié una explicación con la dirección IP y dos capturas de pantalla como prueba. La embajada ni siquiera ha respondido a ese correo electrónico.
(Primera lección que debe aprender el INE: proporcione una dirección de correo electrónico fácil de encontrar en su sitio web para que las personas informen sobre las infracciones de seguridad).
Sin embargo, según el destino, Chris estaba hablando en Harvard sobre su investigación y mencionó la filtración. Un estudiante de México verificó la exactitud del registro de su padre, y un miembro de la facultad trató de ayudar a Chris con el problema de la notificación dándole otras personas para contactar. Chris finalmente escuchó de alguien del Instituto Federal Electoral, (IFE / INE), quien agradeció a Chris y dijo que harían bien en asegurarlo. Es de destacar que el coordinador dijo que la dirección IP no era de ellos y que estaba investigando para ver quién era el responsable de que la base de datos estuviera en esa dirección IP. En una comunicación posterior a DataBreaches.net, el coordinador informó que los números en la base de datos no coincidían con los números históricos nacionales, y eso también se había convertido en parte de su investigación.
La base de datos ahora está protegida.
La publicación de esta publicación se retrasó hasta ahora a pedido del gobierno mexicano para darles tiempo para investigar y asegurar la base de datos.
El riesgo para los ciudadanos mexicanos
Esta no es la primera vez que la información de registro de votantes de ciudadanos mexicanos ha sido filtrada o comprometida de alguna otra manera. En lo que se convirtió en un incidente internacional en 2003, los países latinoamericanos se enteraron de que ChoicePoint estaba comprando y vendiendo información sobre ciudadanos de sus países. Y al discutir este incidente con Héctor Guzmán, Socio de BGBG Abogados (práctica de Protección de Datos y Privacidad), DataBreaches.net se enteró de que México ha tenido otras filtraciones relacionadas con información de votantes. Guzmán señaló a DataBreaches.net una infracción anterior en 2010 que también contenía datos extensos, todos los cuales estaban a la venta. Y en mayo de 2012, hubo otra investigación por parte del gobierno mexicano sobre un censo electoral completo que había sido encontrado a la venta. Un artículo de noviembre de 2013 en Global Voices también señaló datos a la venta en buscardatos.com.
DataBreaches.net no tiene indicios de que la filtración actual esté asociada con algún intento de vender los datos, pero dado que los datos de 2015 ahora se encontraron expuestos en 2016, el gobierno mexicano puede querer revisar sus protecciones, porque como explica Guzmán, el riesgo es enorme:
México (todavía) está lidiando con problemas de seguridad en muchas partes de su territorio. Entonces, incluso cuando este “padrón” no es una fuente completamente confiable del lugar donde realmente viven los ciudadanos, la mayoría de las veces la dirección contenida en el padrón coincide con su dirección real. Entonces, si tiene acceso a esta base de datos, sabrá exactamente dónde viven.
Eso y el hecho de que esta información puede proporcionar información a empresas que de otro modo tendrían que gastar mucho tiempo y dinero para obtener este tipo de datos.
“Este incidente claramente erosiona la confianza de los ciudadanos en muchos organismos gubernamentales. Es posible que algunos ciudadanos decidan no volver a proporcionar sus datos al INE la próxima vez que expire su cédula”, añade Guzmán, señalando que, si bien es un alivio que no se filtrara información financiera y bancaria, “la información aún podría utilizarse con fines delictivos. ya que la ubicación de los ciudadanos está disponible ".
Las leyes de protección de datos de México no requieren que el gobierno notifique a las personas sobre este incidente.
Países enteros violados
Con esta filtración, México ahora se une a una lista de países donde casi toda la población ha tenido su información personal filtrada o violada, ya que 93.4 millones representan más del 72% de la población estimada de México. Belice, Grecia, Israel, Filipinas y Turquía también han experimentado filtraciones de la mayoría de la información personal de su población. Y, por supuesto, no olvidemos que Chris Vickery también había descubierto la filtración de datos de 191 millones de votantes estadounidenses debido a una base de datos igualmente mal configurada.
