La semana pasada se filtraron 132 GB de una base de datos en donde se encontraba la información de 93.4 millones de mexicanos provenientes de la Lista Nominal de Electores. Ésta se encontraba en un servidor en la nube de Amazon sin nombre de usuario, contraseña o seguridad aparente, lo que hacía que cualquiera pudiera acceder a ella.
La información de los ciudadanos incluía, además de su nombre completo y CURP, fecha de nacimiento, clave de elector y hasta la dirección exacta con la que está registrada su credencial para votar. Después de descubrirse dicha filtración el 14 de abril y de reportarla a la embajada mexicana en Estados Unidos, finalmente el Instituto Nacional Electoral (INE) y Amazon lograron retirarla hasta el pasado 22 de abril.
Ahora, después de varios días, finalmente un vocero de Amazon salió a hablar al respecto. En declaraciones hechas a varios medios nacionales, dijo que la lista nominal de electores se encontraba almacenada de una manera insegura en la nube, por lo que era posible acceder a ella a través de internet, algo que ya se sabía desde un principio por obvias razones, pero también dijo lo siguiente:
“Una vez que la empresa fue notificada que una base de datos con información sensible fue almacenada de una manera no segura en su nube y era accesible vía Internet, seguimos nuestros protocolos de seguridad a fin de confirmar desde ese momento que la base de datos no fuese accesible. Todas las medidas de seguridad y redes de Amazon Web Services operaron y continúan operando como fueron diseñadas”.
Al mismo tiempo, reiteró que en caso de que los usuarios tengan preguntas acerca de mejores prácticas en materia de seguridad, pueden encontrar información en la página de recursos de seguridad del servicio.
Pero entonces ¿cómo llegó la lista nominal a Amazon? En una conferencia de prensa en el INE que se llevó a cabo a ayer, el líder de Movimiento Ciudadano (un partido político fundado en 2011), Dante Delgado, reconoció que fueron ellos quienes subieron la información de la lista nominal a la nube de Amazon, por recomendación de una empresa consultora.
Delgado dijo que en febrero de 2015, el INE les entregó tres copias de la lista nominal de electores en dispositivos USB; de éstos devolvieron dos. En el caso del tercero y por consejo de su proveedor tecnológico Indatcom, Movimiento Ciudadano decidió resguardar los datos de de los mexicanos en Amazon Web Services, cuyo servidor usa incluso la NASA.
La decisión, explicó, tuvo como finalidad evitar que se repitiera la historia de 2013, cuando una lista nominal entregada a Movimiento Ciudadano apareció en el sitio buscardatos.com, caso por el cual el partido fue multado con 76 millones de pesos.
Los datos se alojaron en el servidor desde marzo de 2015 hasta el pasado 22 de abril cuando Amazon les informó –vía Indatcom– que éste había sufrido un asalto cibernético, que la información estaba comprometida por un ataque externo y, como parte de su protocolo de seguridad, solicitó removerla.
El INE aseguró que, a partir de la denuncia presentada ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE) el 20 de abril, se iniciaron diligencias que concluyeron con el retiro de la base de datos del servidor de Amazon, la madrugada del 22 de abril.
Delgado asegura que ahora, la responsabilidad en este caso la tendrá que resolver el Tribunal Electoral del Poder Judicial de la Federación, aunque es probable que Movimiento Ciudadano vuelva a ser multado por este «descuido».
Referencias: Político, El Financiero, Milenio