93.4 millones de registros de votantes mexicanos expuestos en Internet por Movimiento Ciudadano

vulneracion_datos_personales_ine_movimientociudadano

El Instituto Nacional Electoral el día 20 de abril denunció el uso indebido de la Lista Nominal de Electores, expuesta en Internet de manera pública en un servidor de Amazon, con más de 93 millones de registros de ciudadanos mexicanos.

Los hechos

Chris Vickery, un experto en ciberseguridad del Centro de Investigación en Seguridad (Security Research Center) de MacKeeper, descubrió un documento llamado “padron2015” o, “Lista Nominal de Electores” de México el día 14 de abril del 2016, con un tamaño de 132 GB y con registros de 93,424,710 ciudadanos mexicanos, todos almacenados en servidores de “Amazon cloud service”, un servicio de almacenamiento “en la nube” de la empresa Amazon.

De acuerdo con información del blog de MacKeeper y DataBreaches.net, los datos que fueron expuestos de manera pública, son:datos_personales_vulnerados

1. ObjectID;
2. Consecutivo alfabético por sección;
3. Clave de elector;
4. Folio nacional;
5. OCR;
6. Apellido paterno;
7. Apellido materno;
8. Nombre;
9. Fecha de nacimiento;
10. Lugar de nacimiento;
11. Sexo;
12. Ocupación;
13. Calle;
14. Número exterior;
15. Número Interior
16. Colonia;
17. Código Postal;
18. Tiempo de residencia;
19. Entidad;
20. Distrito;
21. Municipio;
22. Sección;
23. Localidad;
24. Manzana;
25. En lista nominal;
26. Número de emisión de la credencial;
27. Fecha de inscripción al padrón;
28. Gemelo.

El Instituto Nacional Electoral (INE), por medio de la Comisión del Registro Federal de Electores, reconoció en conferencia de prensa del 22 de abril que la base de datos expuesta era la “Lista Nominal de Electores” y que había sido actualizada por la última vez el 15 de febrero del 2015. También afirmó que la base de datos ya no estaba disponible desde la madrugada del 22 de abril del 2016. Además, el Consejero Electoral Enrique Andrade declaró que no existen indicios de vulneración de los sistemas de seguridad del padrón electoral y de la lista nominal, ni de intromisiones externas a la base informática del INE.

El Consejero Electoral Enrique Andrade dijo en conferencia de prensa que la información correspondiente a la Lista Nominal de Electores expuesta de manera pública corresponde a una copia entregada por el INE a los partidos políticos, de acuerdo al Artículo 153 párrafo Segundo de la Ley General de Instituciones y Procedimientos Electorales (LEGIPE).

La información expuesta fue cotejada por el INE, para verificar su autenticidad y a qué partido político le fue entregada la copia expuesta de la Lista Nominal de Electores.

El día 20 de abril, el INE interpuso una denuncia penal ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), encargada de investigar los delitos en materia electoral, y dio inicio a un procedimiento sancionador ante la Unidad Técnica de lo Contencioso del INE encargada de la tramitación de los procedimientos sancionadores que determina la LEGIPE, ambos en contra de quien resulte responsable. Además los hechos de la vulneración de la lista nominal se dieron a conocer a la Policía Cibernética.

El partido político Movimiento Ciudadano reconoció ser el responsable de sobrecargar a servidores de Amazon la Lista Nominal de Electores

En la conferencia del 22 de abril, el Consejero Electoral del INE Rene Miranda afirmó que en las copias generadas y entregadas a los partidos políticos existen “candados de seguridad” que podrán llevar a identificar la copia y a quien se entregó. Los candados de seguridad o mejor conocidos como “marcas de agua” son textos o imágenes que se colocan dentro de un documento para identificar un archivo en específico. El Consejero Electoral del INE Ciro Murayama afirmó que era una copia proporcionada por el INE, con datos que permiten identificarla de otras copias entregadas por el INE al partido e individuo.

El Consejero presidente del INE Lorenzo Córdova reiteró en entrevista con Adela Micha para Grupo Imagen Multimedia, que la base de datos expuesta provenía de información entregada a los partidos políticos “En el INE ya sabemos qué copia fue la que se filtró, pero estamos en una serie de procedimientos jurídicos y -hasta que éstos concluyan-, no podemos los datos de quienes la subieron el listado nominal a una cuenta pública de acceso público en internet.”

Movimiento Ciudadano otra vez el responsable de la filtración de datos

El partido Movimiento Ciudadano ha reconocido este 27 de abril ser el responsable de sobrecargar en servidores de Amazon la Lista Nominal de Electores que le fue entregada por el Instituto Nacional Electoral (INE).

El día 12 de febrero de 2015, Movimiento Ciudadano recibió copia de la lista nominal para su revisión, tal como lo establece el Artículo 153 Párrafo Segundo de la Ley General de Instituciones y Procedimientos Electorales (LEGIPE).

“Art. 153:
1. …
2. A los partidos políticos les será entregado un tanto de la lista nominal de electores con fotografía a más tardar un mes antes de la jornada electoral”.

Según el posicionamiento del partido político Movimiento Ciudadano, la Comisión Operativa Nacional de ese partido contrató a Indatcom S.A de C.V. para que los asesorara sobre el resguardo de la Lista Nominal. Derivado de la consulta, la Comisión Operativa Nacional aprobó subir a Amazon Web Services la Lista Nominal. De acuerdo con el “Posicionamiento de Movimiento Ciudadano: Lista Nominal”, Indatcom S.A de C.V. le entregó a Movimiento Ciudadano contraseñas de acceso y el uso exclusivo al servidor contratado en Amazon, directamente a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano.

Quedan muchas preguntas aún sin responder, tanto por el INE como por el partido político Movimiento Ciudadano

El día 22 de abril, Indatcom S.A de C.V. informó a Dante Delgado, líder de Movimiento Ciudadano, que la empresa Amazon Web Services había notificado que el servidor contratado había sufrido un asalto cibernético, que la información estaba comprometida por un ataque externo y, como parte del protocolo de seguridad, solicitó removerla. Dante Delgado tomó la decisión de acatar la recomendación de Amazon Web Services, y dio la instrucción de que el contenido fuera removido de manera definitiva.

Un caso similar sucedió en 2013, cuando el padrón electoral y listado nominal entregados a Movimiento Ciudadano (antes Convergencia) fue puesto en venta en el sitio buscardatos.com (http://buscardatos.com). En febrero de 2016, el INE sancionó a Movimiento Ciudadano por 76 millones de pesos por no haber observado el debido cuidado del padrón electoral en 2013.

Las preguntas sin responder por el INE y Movimiento Ciudadano

El INE tiene la obligación de acuerdo al Art. 153 Párrafo Segundo de la Ley General de Instituciones y Procedimientos Electorales de entregar a los partidos políticos un tanto de la Lista Nominal pero únicamente para su revisión por el partido político tal como lo señala el Art. 148 Párrafo Segundo.

“Art. 148:
1. …
2. Los partidos políticos tendrán acceso en forma permanente a la base de datos del padrón electoral y las listas nominales, exclusivamente para su revisión, y no podrán usar dicha información para fines distintos”.

Derivado de los hechos expuestos de la vulneración de la Lista Nominal, hay diversos cuestionamientos aún sin responder, tanto por el INE como por el partido político Movimiento Ciudadano.

  1. ¿En la copia de la Lista Nominal expuesta, existen las fotografías de los ciudadanos, las huellas dactilares recabadas y las firmas autógrafas, tal como aparece en las credenciales para votar?
  2. Si es una copia de la Lista Nominal de Electores 2015 entregada por el INE a Movimiento Ciudadano:
    a. ¿Qué tecnologías utilizó el INE para impedir el uso indebido de la información?
    b. ¿Entregó el INE la Lista Nominal usando tecnología de cifrado?
  3. ¿Desde cuándo Movimiento Ciudadano ha subido a servidores de Amazon la Lista Nominal de Electores?
  4. ¿Está facultado Movimiento Ciudadano para transferir (sobrecargar) a servidores fuera de México los datos personales de millones de mexicanos contenidos en la Lista Nominal?
  5. Si la empresa Indatcom S.A de C.V. le entregó a Movimiento Ciudadano contraseñas y uso exclusivo al servidor contratado en Amazon, ¿por qué había acceso público a la información?
  6. ¿Qué medidas de seguridad técnicas, físicas y administrativas utilizó Movimiento Ciudadano para resguardar la Lista Nominal?
  7. ¿Cuáles son las pruebas que tiene Movimiento Ciudadano para afirmar que fue un ataque de cibercriminales?
  8. ¿Contrató Movimiento Ciudadano a Indatcom S.A de C.V. sólo para la asesoría del resguardo de la información? ¿O también para la asesoría y administración del servidor contratado en Amazon?
  9. ¿Utilizan los partidos políticos en México medidas de seguridad técnicas, físicas y administrativas para el debido resguardo de los datos personales que tratan?

El INE también debería declararse responsable

Un partido político ya se ha pronunciado como responsable de la exposición de los datos personales contenidos en la Lista Nominal, pero el INE también debe declararse responsable, porque es responsable del uso y protección de los datos que recaba de los ciudadanos, tal y como lo señala en su Manifestación de protección de datos personales recabados por el Registro Federal de Electores:

“1. Identidad y domicilio del responsable.
El Instituto Nacional Electoral (INE), a través de la Dirección Ejecutiva del Registro Federal de Electores, con domicilio en Av. Insurgentes Sur 1561, Col. San José Insurgentes, C.P. 03740, Benito Juárez, México, Distrito Federal, es responsable del uso y protección de los datos de los ciudadanos que se recaban para los trámites de inscripción y actualización en los Módulos de Atención Ciudadana.”

Las sanciones deben ser para todas las partes que son responsables del tratamiento de los datos personales, incluyendo al partido político responsable y también al INE.

“Es muy probable que la información haya sido descargada por varias personas” (Chris Vickery)

En una entrevista con SonTusDatos (Artículo 12, A.C.) el viernes 22 de abril, a la pregunta de saber si era probable que la información hubiera sido descargada por varias personas, Chris Vickery respondió que era muy probable, porque la información era de acceso público y hay personas que se dedican a realizar investigaciones sobre vulneraciones de seguridad.

Como sociedad, no podemos seguir tolerando que queden impunes las personas responsables de poner en riesgo nuestros datos personales, datos de millones de Mexicanos. Necesitamos conocer las respuestas e información que lleve a todos los Mexicanos a conocer la verdad.

¿Tiene información?
Si tiene Usted más información sobre estos hechos, podrá enviarla de manera totalmente anónima, confidencial y segura a FiltracionesDigitales.org

Comentarios (0)

Deja un comentario...