Facepalm región 4: La base de datos fugada del INE y Movimiento Ciudadano

1: ¿Qué sucedió?

El día 22 de abril 2016, se publicó un artículo en el blog de la empresa Mackeeper sobre cómo un ingeniero de la empresa encontró – dentro de los servidores que ofrece Amazon en su plataforma de cómputo para clientes – un servidor de base de datos tipo “MongoDB”, al cual se podía acceder sin necesidad de presentar una contraseña, y que contenía el padrón de votantes del INE, incluyendo nombres, apellidos y direcciones de cada uno de los votantes registrados.

En el artículo se describe también las acciones que éste ingeniero tomó posterior a éste descubrimiento: alertó a diversas autoridades de Estados Unidos (su país de origen), así como a la embajada de México.

También nos describe su frustración a raíz de la lentitud con la cual el problema fué atendido por las autoridades mexicanas, después de haber sido ignorado.

Mientras el artículo se volvió viral en redes sociales, se determinó por alguna autoridad Mexicana que la fuente de ésa información, y dueño de ese servidor era el partido Movimiento Ciudadano.

Al mismo tiempo, un pronunciamiento oficial del partido, así como algunas declaraciones. del propio presidente del partido, Dante Delgado, acusan al ingeniero que hizo el descubrimiento de haber forzado su entrada al servidor, así como también sugieren una falta de seguridad por parte de Amazon.

En el comunicado oficial, detallan también que es la empresa Indatcom SA de CV, quien les proveyó la consultoría para habilitar dicha base de datos en Amazon.

2: ¿Cuales son realmente los servicios disponibles en Amazon?

Amazon es una empresa que, aparte de su muy conocida tienda en línea, ofrece distintos servicios de cómputo en la nube. Entre éstos servicios, se encuentran servicios de bases de datos de distintos tipos, así como también servidores de uso general, para que el cliente lo administre (léase “instale lo que quiera”).

Ellos no ofrecen, sin embargo, el servicio de base de datos tipo “MongoDB”. Aún así, se puede crear en su plataforma un servidor de uso general, e instalarle dicho servicio. Éste el caso de muchas compañías que ofrecen por su cuenta el servicio de MongoDB sobre la nube cómputo de Amazon. Éstas compañías revisan, de manera continua posibles vulnerabilidades de seguridad en todos sus servidores, y no permiten en ningún momento – por medio de configuración y sistemas automatizados – que exista una base de datos desprotegida sin una contraseña. Estos servicios tienen obviamente un costo agregado a los costos del servidor de Amazon.

Por otro lado, Amazon ofrece al momento de crear cualquier servidor, un “Marketplace” con diversas “plantillas” de servidor con diversos servicios preconfigurados, algunos de ellos con MongoDB, y generalmente tienen por default una configuración de seguridad “decente”. Algunas de éstas plantillas tienen costo, y algunas otras requieren de servidores de alto desempeño, que por ende son más costosos.

Por último, existe la opción de usar una plantilla “básica”, que crea el servidor con “lo básico”, y el costo de estos servidores llegan a ser bastante bajos. A estos servidores se le pueden instalar “manualmente” por parte del cliente cualquier servicio que éste mismo requiera, incluyendo MongoDB. La instalación manual default de MongoDB NO CUENTA CON UNA CONTRASEÑA. Personalmentehe realizado esa instalación muchísimas veces.

3: De”Hackers” y sus sombreros…

Podemos separar en 2 tipos de hackers “serios”, que tendrían el conocimiento para forzar y violar las medidas de seguridad de un servidor – por esa razón excluiremos a los developers y a los script kiddies en ésta clasificación:

Los de “Sombrero Negro”: Sus intenciones son oscuras, a veces maliciosas. Generalmente son discretos, prefieren el anonimato, o generan una identidad alterna, y no les viene bien llamar la atención con su identidad “no secreta”, pues dicha atención les estorba para realizar sus cometidos. ej. Anonymous, etc.

Los de “Sombrero Blanco”, que trabajan para empresas de tecnología y seguridad, y siempre andan en busca de vulnerabilidades en sistemas, tanto suyos como externos.

En el caso del ingeniero de Mackeeper, se trataría en todo caso de un “Sombrero Blanco”… Aunque en realidad para entrar a una base de datos sin protección alguna no se necesita ningún conocimiento especial.

4: Los “Facts”: Panorama completo

El partido Movimiento Ciudadano específica que contrató a Indatcom para entre otras cosas, habilitar y manejar la base de datos del padrón. Argumentan que fueron “hackeados” por el ingeniero que reportó la vulnerabilidad, y sugieren deficiencias de seguridad en el servicio de Amazon. Debido a ésta fuga de información, están en riesgo de recibir un castigo ejemplar, y posiblemente la pérdida de su registro.

El ingeniero de Mackeeper que hizo el descubrimiento argumenta que conciente del contenido de dicha base de datos y de la magnitud del problema, contactó a las autoridades, pero fué ignorado. Expresó que por esta falta de interés y frustración al ver que pasaban los días y la base de datos seguía abierta, se dispuso a atraer la atención de los medios – atención indeseable si tuviera intenciones ocultas.

Amazon, siendo el proveedor del servidor donde se encontraba la base de datos en cuestión, ofrece avanzados sistemas de seguridad sobre el acceso al servidor, pero no puede ser responsable de la seguridad en los servicios instalados por el cliente, ni mucho menos por alguna falta de configuración en unainstalación hecha por el cliente. Ellos tampoco ofrecen el servicio de ese tipo de base de datos en particular. Existen otros proveedores que sí lo ofrecen sobre Amazon, con un costo agregado, pero no fueron requeridos.

Indatcom es la empresa que Movimiento Ciudadano contrató para que, entre otras cosas, habilitasen y administrasen la base de datos en cuestión. En su página de internet no especifican ser especialistas en seguridad de datos, ni en mantenimiento de redes, ni en bases de datos… solo de marketing y sitios web promocionales.

5: La navaja de Ockham: la explicación más sencilla suele ser la verdad

Al mencionar las características de dicha instalación de MongoDB, y de recordar que en éste país, es práctica común por parte de los partidos políticos y grupos en el poder de asignar responsabilidades a empresas sin el expertise requerido (léase empresas “patito”), es más factible que la causa de ésta filtración se deba más a un descuido por parte de algún técnico sin experiencia de Indatcom, a que un ingeniero experto en seguridad de una compañía establecida, haya forzado su entrada al servidor y deshabilitado la contraseña, para después fugar la información… De haber sido así, resulta ilógico que haya dado la cara y su nombre!

El partido Movimiento Ciudadano está en peligro de serle retirado su registro si se comprueba su falta de seriedad y responsabilidad sobre el archivo que recibió por parte del INE, y es muy probable que su acusación sea una medida desesperada por evitar dicha responsabilidad.

6: Consultorías “patito” en México

Ésta podría ser un caso más de empresas de tecnología que son contratadas por el gobierno y partidos políticos para asignarles proyectos para los cuales no están calificados, y muchas veces con presupuestos millonarios.¿Recuerdan hace unos meses el tema de los pasaportes? ¿Recuerdan que nos costó 90 millones de USD’s? ¿Recuerdan que la tuvieron qué quitar? ¿Recuerdan los regios la app que mandó hacer Margarita Arellanes, la alcaldesa de Monterrey, que costó 7 millones de pesos, pero es solo un mentado botón que no hace nada?

Es muy triste que haya muchas empresas de tecnología que lejos de estar haciendo éste un país mejor paso a paso, una línea de código a la vez, estén siendo usadas para “mamarse” el presupuesto del gobierno.

7: Updates y ligas relacionadas:
* Como les iba diciendo…: http://www.jornada.unam.mx/ultimas/2016/04/29/beneficio-el-mc-a-indatcom-con-jugosos-contratos
*