Go to the profile of Eduardo Blancas Reyes
Eduardo Blancas Reyes
Data nerd. DSSG 2015. EXATEC IMT’15. iOS developer. Currently DSaPP @ UChicago

Movimiento Ciudadano y el hackeo que nunca existió

El 22 de abril, Chris Vickery –investigador de MacKeeper Security– reportó haber encontrado una base de datos con información personal de 93.4 millones de mexicanos. La base de datos se encontraba en Amazon Web Services y de acuerdo a Vickery, sin ninguna clase de protección.

La base de datos contenía información personal de 93 millones de mexicanos. Fuente: databreaches.net

Después de haberse dado aviso a las autoridades correspondientes, se descubrió que dicha base de datos era una copia del padrón electoral que se había entregado el febrero de 2015 al partido Movimiento Ciudadano. 5 días después de la filtración, el partido publicó el siguiente comunicado.

El mencionado boletín, está plagado de inexactitudes técnicas –por no decir mentiras–, así que me gustaría hacer algunos comentarios, pero antes de ello, quiero explicar qué es Amazon Web Services y cómo funciona.

Amazon Web Services (o AWS), es una filial de Amazon que se dedica a ofrecer servicios de cómputo en la nube. Dicho de manera sencilla, la empresa “renta servidores” (un servidor no es otra cosa que una computadora remota), sin embargo, el cliente es el encargado de administrar completamente el servidor, incluyendo la implementación de medidas de seguridad necesarias.

Con esa breve explicación sobre AWS, pasemos a comentar los puntos que me parecen mas controvertidos del comunicado:

4. La Comisión Operativa Nacional solicitó a la empresa Indatcom, proveedor tecnológico de Movimiento Ciudadano, asesoría sobre la mejor manera de salvaguardar información.

En este punto nos queda claro quien estaba a cargo de la seguridad de los datos. Si el partido se los entregó a la empresa Indatcom, ellos fueron los que decidieron dónde y cómo resguardarlos.

5. Derivado de dicha consulta, la Comisión Operativa Nacional aprobó de manera unánime la decisión de realizar la salvaguarda de seguridad del padrón electoral en servidores propiedad de Amazon Web Services; empresa de resguardo, protección y administración de datos que cuenta con las más avanzadas medidas de seguridad y la mejor reputación a nivel mundial.

Falso. AWS no es una empresa de protección de datos. El servicio consiste en la renta de servidores, pero el usuario es el responsable de las medidas de seguridad que se implementen. Claro que se pueden implementar “medidas de seguridad avanzadas” pero eso es trabajo del usuario no de la empresa.

6. Entre los argumentos presentados para seleccionar los servidores de Amazon Web Services para la salvaguarda del padrón, destacan que es la empresa con más altos estándares de seguridad y protección de datos a nivel mundial, por lo que cuenta entre sus clientes a instituciones y organizaciones como la NASA, Samsung y universidades norteamericanas como Chicago, Notre Dame y San Francisco.

Cualquier persona con acceso a internet –y una tarjeta de crédito– puede rentar un servidor en AWS. Así que este punto sobre el gran prestigio sobre sus clientes no es válido e incluso absurdo.

7. La empresa Indatcom S.A de C.V. realizó los trámites necesarios para la contratación de los servicios de Amazon Web Services, para salvaguardar la información, y entregó contraseñas y el uso exclusivo del servidor a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano.

Aquí nos queda claro quien “metió la pata” y alojó datos de millones de mexicanos sin protección alguna.

Entre el punto 8 y 10 nos encontramos con la fábula del hackeo:

8. El viernes 22 de abril fuimos informados, a través de nuestro proveedor de servicios tecnológicos, que la empresa Amazon Web Services notificó que el servidor contratado había sufrido un asalto cibernético, que la información salvaguardada estaba comprometida por un ataque externo y, como parte de su protocolo de seguridad, solicitó removerla.
9. Indatcom me notificó inmediatamente, en mi carácter de Coordinador de la Comisión Operativa Nacional, y tomé la decisión de acatar la recomendación de Amazon Web Services, por lo que di la instrucción de que el contenido fuera removido de manera definitiva.
10. Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.

Cuando Vickery descubrió que la base de datos no tenía protección alguna, notificó a AWS pero no obtuvo respuesta alguna. El supuesto hackeo reportado por AWS a Movimiento Ciudadano sigue sin confirmarse. (Actualización: Julio Gil, gerente de Relaciones Públicas de Amazon confirmó que la base de datos se encontraba almacenada de manera no segura)

El llamado “ataque cibernético” que requirió “métodos altamente especializados, característicos de hackers profesionales”, no concuerda con la versión de Vickery, quien argumenta que la base de datos se encontraba sin ninguna clase de protección.

13. Aprovecho para comunicarle al consejero presidente que estamos del mismo lado en este nuevo frente por la defensa de los datos personales de los mexicanos y de la seguridad digital de la nación, y que en todo momento colaboraremos con el Instituto Nacional Electoral, y demás autoridades involucradas, para encontrar y sancionar al o los hackers que realizaron este ataque cibernético.

Por si fuera poco, el partido tiene la desfachatez de decir que colaborarán para “encontrar y sancionar a los hackers”. Al parecer, el partido tomará acciones legales contra Chris Vickery, cuyo “delito” fue reportar la existencia de información confidencial en una base de datos pública con todos los riesgos que ello significa (¿Alguien dijo extorsión telefónica?).

14. Esta situación evidencia el riesgo latente en que se encuentran todas las bases de datos que están a disposición del Estado Mexicano y pone de manifiesto la necesidad de replantear y legislar en materia de seguridad digital para salvaguardar el derecho a la privacidad y la protección de los datos personales. Nuestros diputados asumen el compromiso de llevar esta agenda al Congreso de la Unión en los próximos días.

¿Riesgo latente? Aquí el único riesgo es que un partido político esté contratando “asesores tecnológicos” con dudosa capacitación y que sus acciones estén poniendo en riesgo la seguridad de los mexicanos.

Me parece inaceptable la respuesta que está dando el partido a algo que evidentemente fue su responsabilidad y por lo cual deben ser sancionados. A pesar de que la base de datos ya fue eliminada, no se sabe si alguien más tuvo acceso a ella. Imaginen el peligro que representaría si esa información cayó en manos de personas con malas intenciones.