Movimiento Ciudadano miente y evade su responsabilidad en vulneración de Lista Nominal de Electores

Movimiento Ciudadano vulneró la Lista Nominal de Electores

En entrevista con SonTusDatos el día 27 de abril, Chris Vickery, especialista en ciberseguridad, afirmó que la exposición pública de la lista de electores fue el resultado de una negligencia, ya que el partido político Movimiento Ciudadano sobrecargó la base de datos de la Lista Nominal de Electores a un servidor de Amazon Web Services sin protegerla con las medidas de seguridad adecuadas.

¿Ataque de cibercriminales o falla premeditada?

Movimiento Ciudadano afirmó en su “Posicionamiento” sobre la Lista Nominal que:

“10. Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.”

“12. (…) Movimiento Ciudadano exige se castigue a los asaltantes cibernéticos que violentaron nuestros protocolos de seguridad.”

El partido político afirmó que la base de datos de la Lista Nominal de Electores contaba con protocolos de seguridad. Sin embargo, Chris Vickery especialista en ciberseguridad refutó la afirmación

“Es una mentira, una mentira. Cualquier persona en el mundo tenía acceso. Lo único que necesitabas era una interfaz de bases de datos (software legal para realizar operaciones en las bases de datos) que cualquiera puede descargar. Yo suelo usar MongoVue. Sólo ponías la dirección IP, y ahí estaba, sin contraseña, sin protección. Cualquier persona en el mundo podía descargarla.”

Amazon Web Services (AWS) a través de un comunicado señaló:

“Todas las medidas de seguridad y redes operaron – y continúan operando – como fueron diseñadas. Una vez que AWS fue notificada de que una base de datos con información delicada fue almacenada de manera no segura en su nube y era accesible vía Internet, seguimos nuestros protocolos de seguridad a fin de confirmar desde ese momento que la base de datos no fuera accesible”.

El Consejero Electoral del INE, Lorenzo Cordova, ha afirmado que “(e)ste asunto no está cerrado por las declaraciones que hizo ayer un partido político, por el contrario todo eso forma parte del expediente y será parte de las indagatorias que en breve culmine con una sanción ejemplar a los responsables de la vulneración de los datos de los ciudadanos mexicanos que estuvieron expuestos”.

“Ahí estaba (lista nominal electoral), sin contraseña, sin protección. Cualquier persona en el mundo podía descargarla” (Chris Vickery)

Amazon Web Services, el especialista estadounidense, así como el INE han indicado que la base de datos expuesta no contaba con medidas de seguridad, por lo que Movimiento Ciudadano está mintiendo al decir que fue un ataque, que había implementado las medidas de seguridad adecuadas y que decidió hacer este resguardo para que no volvieran a ser víctimas del mal uso de esta base de datos.

De acuerdo con el especialista estadounidense, la explicación más lógica a la vulneración era que la gente a cargo en el partido político olvidó configurar correctamente la base de datos porque cuando descubrió la base de datos, no se veía como resultado de un ataque, sino como una mala configuración.

Indatcom S.A. de C.V. la empresa asesora de Movimiento Ciudadano

En una entrada previa, planteamos cuestionamientos sobre la empresa Indatcom S.A. de C.V. ¿Fue únicamente la empresa asesora de Movimiento Ciudadano? o ¿También administraba el servidor donde el especialista estadounidense encontró la base de datos (lista nominal electoral)?

“No considero que haya sido un ataque.” “Se veía como una negligencia humana.” (Chris Vickery)

La reciente filtración de la lista nominal demuestra que si Indatcom S.A. de C.V. fue asesora de Movimiento Ciudadano, e incluso administradora del servido en AWS, en realidad carece de personal con conocimientos adecuados para ofrecer servicios de ciberseguridad. Incluso Reporte Indigo ha señalado que Indatcom S.A. de C.V. dista mucho de ser una empresa de ciberseguridad.

¿Cuál fue la negligencia en la configuración de la base de datos?

Si la exposición de 93.4 millones de registros de votantes mexicanos en Internet por Movimiento Ciudadano fue una negligencia, ¿cuál fue la negligencia en la configuración de la base de datos? Vickery explicó que “(l)a explicación lógica es que quitaron la contraseña. Cualquier versión reciente de una interfaz de administración de bases de datos, te obliga a usar contraseña pero la persona que administraba la base de datos, quitó la contraseña.”

Ante el cuestionamiento de ¿por qué removieron la contraseña?, el experto estadounidense respondió:

“Por flojera, por conveniencia, para un fácil acceso. Podrían existir muchas razones pero todas llevan a una negligencia humana. La otra posible explicación es que alguien ‘teóricamente’ haya entrado en la cuenta y después removido la contraseña … pero es un escenario improbable. Lo más lógico es que ellos removieron la contraseña… es la situación más común. Estaba disponible para cualquiera en el mundo.”

¿Qué tipo de usuario pudo tener acceso y descargar la base de datos?

Movimiento Ciudadano afirmó en su “Posicionamiento” que, para hacer pública la información, fue necesario violar medidas de seguridad, romper protocolos de seguridad, utilizar métodos altamente especializados y que la información tampoco fue publica para usuarios en general, sino que fue necesario la intervención de hackers.

Dante Delgado líder del partido político Movimiento Ciudadano, afirmó que “La vulneración a nuestro sistema de resguardo es producto de una intervención de una persona especializada.” Pero ¿en verdad era necesario ser un experto en informática para acceder al servidor y descargar la base de datos? Según Vickery, no es el caso: “Un usuario con conocimientos básicos (o) cualquiera que haya leído un poco sobre bases de datos Mongo” hubiera podido acceder al servidor donde estaba hospedada la base de datos.

“Por flojera, por conveniencia, para un fácil acceso. Podrían existir muchas razones, pero todas llevan a una negligencia humana”. (Chris Vickery)

La base de datos era de acceso público, sin ninguna medida de seguridad y tampoco era necesario ser un usuario experto. Incluso el procedimiento para el acceso y descarga de la base de datos era bastante sencillo, solo se necesitaba “(u)sar una interfaz de bases de datos” tal como Vickery afirmó.

¿Tiene información?
Si tiene Usted más información sobre estos hechos, podrá enviarla de manera totalmente anónima, confidencial y segura a FiltracionesDigitales.org
ESCRITO POR: Daniel Villegas.

AUTORES DE LA INVESTIGACIÓN: 
Cédric Laurant, Daniel Villegas.

By Daniel VillegasDaniel Villegas on Twitter

Daniel Villegas fue Abogado del Programa de protección de datos “SonTusDatos” de la Asociación civil “Artículo 12”. Más información sobre Daniel: https://sontusdatos.org/staff/daniel-villegas/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-daniel-villegas/.

Comentarios (0)

Deja un comentario...