Ir al contenido principal

93.4 millones de registros de votantes mexicanos expuestos en Internet por Movimiento Ciudadano

--------- La siguiente entrada fue escrita en el año 2016 y fue recuperada del sitio www.sontusdatos.org  ---------


La mayor vulneración de datos personales en México

El Instituto Nacional Electoral el día 20 de abril denunció el uso indebido de la Lista Nominal de Electores, expuesta en Internet de manera pública en un servidor de Amazon, con más de 94 millones de registros de ciudadanos mexicanos.


Los hechos

Chris Vickery, un experto en ciberseguridad del Centro de Investigación en Seguridad (Security Research Center) de MacKeeper, descubrió un documento llamado “padron2015” o, Lista Nominal de Electores” de México el día 14 de abril del 2016, con un tamaño de 132 GB y con registros de 93,424,710 ciudadanos mexicanos, todos almacenados en servidores de “Amazon cloud service”, un servicio de almacenamiento “en la nube” de la empresa Amazon.

De acuerdo con información del blog de MacKeeper y DataBreaches.net, los datos que fueron expuestos de manera pública, son:

1       ObjectID;

2       Consecutivo alfabético por sección;

3       Clave de elector;

4       Folio nacional;

5       OCR;

6       Apellido paterno;

7       Apellido materno;

8       Nombre;

9       Fecha de nacimiento;

10    Lugar de nacimiento;

11    Sexo;

12    Ocupación;

13    Calle;

14    Número exterior;

15    Número Interior

16    Colonia;

17    Código Postal;

18    Tiempo de residencia;

19    Entidad;

20    Distrito;

21    Municipio;

22    Sección;

23    Localidad;

24    Manzana;

25    En lista nominal;

26    Número de emisión de la credencial;

27    Fecha de inscripción al padrón;

28    Gemelo;

 


El Instituto Nacional Electoral (INE), por medio de la Comisión del Registro Federal de Electores, reconoció en conferencia de prensa del 22 de abril que la base de datos expuesta era la “Lista Nominal de Electores y que había sido actualizada por la última vez el 15 de febrero del 2015.  También afirmó que la base de datos ya no estaba disponible desde la madrugada del 22 de abril del 2016. Además, el Consejero Electoral Enrique Andrade declaró que no existen indicios de vulneración de los sistemas de seguridad del padrón electoral y de la lista nominal, ni de intromisiones externas a la base informática del INE.

El Consejero Electoral Enrique Andrade dijo en conferencia de prensa que la información correspondiente a la Lista Nominal de Electores expuesta de manera pública corresponde a una copia entregada por el INE a los partidos políticos, de acuerdo al Artículo 153 párrafo Segundo de la Ley General de Instituciones y Procedimientos Electorales (LEGIPE).

La información expuesta fue cotejada por el INE, para verificar su autenticidad y a qué partido político le fue entregada la copia expuesta de la Lista Nominal de Electores.

El día 20 de abril, el INE interpuso una denuncia penal ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), encargada de investigar los delitos en materia electoral, y dio inicio a un procedimiento sancionador ante la Unidad Técnica de lo Contencioso del INE encargada de la tramitación de los procedimientos sancionadores que determina la LEGIPE, ambos en contra de quien resulte responsable. Además los hechos de la vulneración de la lista nominal se dieron a conocer a la Policía Cibernética.

En la conferencia del 22 de abril, el Consejero Electoral del INE Rene Miranda afirmó que en las copias generadas y entregadas a los partidos políticos existen “candados de seguridad” que podrán llevar a identificar la copia y a quien se entregó.  Los candados de seguridad o mejor conocidos como “marcas de agua” son textos o imágenes que se colocan dentro de un documento para identificar un archivo en específico. El Consejero Electoral del INE Ciro Murayama afirmó que era una copia proporcionada por el INE, con datos que permiten identificarla de otras copias entregadas por el INE al partido e individuo.

El Consejero presidente del INE Lorenzo Córdova reitero en entrevista con Adela Micha para Grupo Imagen Multimedia, que la base de datos expuesta provenía de información entregada a los partidos políticos “En el INE ya sabemos qué copia fue la que se filtró, pero estamos en una serie de procedimientos jurídicos y -hasta que éstos concluyan-, no podemos los datos de quienes la subieron el listado nominal a una cuenta pública de acceso público en internet.” 

Los representantes de los partidos políticos

El partido político Movimiento Ciudadano reconoció ser el responsable de sobrecargar a servidores de Amazon la Lista Nominal de Electores

 

Movimiento Ciudadano otra vez el responsable de la filtración de datos.

El partido Movimiento Ciudadano ha reconocido este 27 de abril ser el responsable de sobrecargar en servidores de Amazon la Lista Nominal de Electores que le fue entregada por el Instituto Nacional Electoral (INE).

El día 12 de febrero de 2015, Movimiento Ciudadano recibió copia de la lista nominal para su revisión, tal como lo establece el Artículo 153 Párrafo Segundo de la Ley General de Instituciones y Procedimientos Electorales (LEGIPE).

Art. 153

1. …

2. A los partidos políticos les será entregado un tanto de la lista nominal de electores con fotografía a más tardar un mes antes de la jornada electoral.

Según el posicionamiento del partido político Movimiento Ciudadano, la Comisión Operativa Nacional de ese partido contrató a Indatcom S.A de C.V. para que los asesorara sobre el resguardo de la Lista Nominal.  Derivado de la consulta, la Comisión Operativa Nacional aprobó subir a Amazon Web Services la Lista Nominal.  De acuerdo con el “Posicionamiento de Movimiento Ciudadano: Lista Nominal”, Indatcom S.A de C.V. le entregó a Movimiento Ciudadano contraseñas de acceso y el uso exclusivo al servidor contratado en Amazon, directamente a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano.  El día 22 de abril, Indatcom S.A de C.V. informó a Dante Delgado, líder de Movimiento Ciudadano, que la empresa Amazon Web Services había notificado que el servidor contratado había sufrido un asalto cibernético, que la información estaba comprometida por un ataque externo y, como parte del protocolo de seguridad, solicitó removerla.  Dante Delgado tomó la decisión de acatar la recomendación de Amazon Web Services, y dio la instrucción de que el contenido fuera removido de manera definitiva.

Un caso similar sucedió en 2013, cuando el padrón electoral y listado nominal entregados a Movimiento Ciudadano (antes Convergencia) fue puesto en venta en el sitio buscardatos.com (http://buscardatos.com).  En febrero de 2016, el INE sancionó a Movimiento Ciudadano por 76 millones de pesos por no haber observado el debido cuidado del padrón electoral en 2013.

Quedan muchas preguntas aún sin responder, tanto por el INE como por el partido político Movimiento Ciudadano.

 

Las preguntas sin responder por el INE y Movimiento Ciudadano

El INE tiene la obligación de acuerdo al Art. 153 Párrafo Segundo de la Ley General de Instituciones y Procedimientos Electorales de entregar a los partidos políticos un tanto de la Lista Nominal pero únicamente para su revisión por el partido político tal como lo señala el Art. 148 Párrafo Segundo.

Art. 148

1. …

2. Los partidos políticos tendrán acceso en forma permanente a la base de datos del padrón electoral y las listas nominales, exclusivamente para su revisión, y no podrán usar dicha información para fines distintos.

Derivado de los hechos expuestos de la vulneración de la Lista Nominal, hay diversos cuestionamientos aún sin responder, tanto por el INE como por el partido político Movimiento Ciudadano.

1.     ¿En la copia de la Lista Nominal expuesta, existen las fotografías de los ciudadanos, las huellas dactilares recabadas y las firmas autógrafas, tal como aparece en las credenciales para votar?

2.     Si es una copia de la Lista Nominal de Electores 2015 entregada por el INE a Movimiento Ciudadano:

a.     ¿Qué tecnologías utilizó el INE para impedir el uso indebido de la información?

b.     ¿El INE entregó la Lista Nominal usando tecnología de cifrado?

3.     ¿Desde cuándo Movimiento Ciudadano ha subido a servidores de Amazon la Lista Nominal de Electores?

4.     ¿Movimiento Ciudadano está facultado para transferir (sobrecargar) a servidores fuera de México los datos personales de millones de mexicanos contenidos en la Lista Nominal?

5.     Si la empresa Indatcom S.A de C.V. le entregó a Movimiento Ciudadano contraseñas y uso exclusivo al servidor contratado en Amazon, ¿por qué había acceso público a la información?

6.     ¿Qué medidas de seguridad técnicas, físicas y administrativas utilizó Movimiento Ciudadano para resgaurdar la Lista Nominal?

7.     ¿Cuáles son las pruebas que tiene Movimiento Ciudadano para afirmar que fue un ataque de cibercriminales?

8.     ¿Contrató Movimiento Ciudadano a Indatcom S.A de C.V. sólo para la asesoría del resguardo de la información? ¿O para la asesoría y administración del servidor contratado en Amazon?

9.     ¿Utilizan los partidos políticos en México medidas de seguridad técnicas, físicas y administrativas para el debido resguardo de los datos personales que tratan?

El INE también debería declararse responsable

Un partido político ya se ha pronunciado como responsable de la exposición de los datos personales contenidos en la Lista Nominal, pero el INE también debe declararse responsable, porque es responsable del uso y protección de los datos que recaba de los ciudadanos, tal y como lo señala en su Manifestación de protección de datos personales recabados por el Registro Federal de Electores:

“1. Identidad y domicilio del responsable.

El Instituto Nacional Electoral (INE), a través de la Dirección Ejecutiva del Registro Federal de Electores, con domicilio en Av. Insurgentes Sur 1561, Col. San José Insurgentes, C.P. 03740, Benito Juárez, México, Distrito Federal, es responsable del uso y protección de los datos de los ciudadanos que se recaban para los trámites de inscripción y actualización en los Módulos de Atención Ciudadana.”

Las sanciones deben ser para todas las partes que son responsables del tratamiento de los datos personales, incluyendo al partido político responsable y también al INE.

Chris Vickery: “Es muy probable que la información haya sido descargada por varias personas”

En una entrevista con SonTusDatos (Artículo 12, A.C.) el viernes 22 de abril, a la pregunta de saber si era probable que la información hubiera sido descargada por varias personas, Chris Vickery respondió que era muy probable, porque la información era de acceso público y hay personas que se dedican a realizar investigaciones sobre vulneraciones de seguridad.

Como sociedad, no podemos seguir tolerando que queden impunes las personas responsables de poner en riesgo nuestros datos personales, datos de millones de Mexicanos.  Necesitamos conocer las respuestas e información que lleve a todos los Mexicanos a conocer la verdad.


 

Comentarios

Publicar un comentario

Entradas más populares de este blog

Recomendaciones sobre el uso de ChatGPT en la administración pública.

El uso de la inteligencia artificial, como ChatGPT para el desarrollo de las actividades en la administración pública, sin duda conlleva enormes beneficios, pero su uso debe darse bajo criterios que busquen evitar transferir o revelar información confidencial y reservada. Image by rawpixel.com on Freepik El modelo de inteligencia artificial de OpenAI , denominado ChatGPT , brinda una interacción conversacional con resultados en tiempos breves, respondiendo a cuestionamientos y mostrando información de salida como si estuviera interactuando en una conversación, esto junto a su acceso “gratuito”, ha logrado que un enorme número de personas alrededor del mundo sean usuarios de esta IA, incluidas personas que trabajan en la administración pública, ya sea de nivel federal, estatal, municipal, organismos constitucionalmente autónomos y empresas paraestatales, además de los poderes legislativo y judicial. Sin embargo, el uso de diversas herramientas tecnológicas debe darse bajo criterios
Publicar un comentario
Leer más

Reforma Judicial en Puebla

En el mes de septiembre del 2022 se discute en el Congreso del Estado de Puebla una reforma al sistema judicial del Estado.  La iniciativa propone  reformar los artículos 12, fracción X, 37, fracción II, 57, fracciones XIV, XV XXIII y XXXI, 61, fracciones II y III, 86, 87, 88, 90, 91 y 94 de la Constitución Política del Estado Libre y Soberano de Puebla.   A continuación la transcripción de la reforma: DIPU T A D OS DE LA L X I LE G I SL A T U R A DEL HONORA B LE CONGRE S O DEL E S T A DO LIB R E Y S OBER A NO DE P UEBLA P R E S E N T E       C. L U IS M I G UEL G E RÓNI M O B A R B O S A H U ER T A, G o be r n ado r Co n stit u c i on a l de l Es t a d o L ib r e y S o be ra n o d e P u e b la, c o n f u nd am en t o e n lo d i s pue s t o p o r los a rtíc u los 6 3 , fracci ó n I , y 79 , fracci ó n V I d e la Co n stit u ci ó n Po l í tica d e l Est a d o L ib r e y S o b e ra n o d e P u e b l a ; a s í c o m o e n e
Publicar un comentario
Leer más

La inteligencia artificial como nueva frontera en el reconocimiento de derechos y obligaciones. Una aproximación desde la perspectiva del derecho de autor y la propiedad industrial.

A continuación presentamos el artículo denominado "La inteligencia artificial como nueva frontera en el reconocimiento de derechos y obligaciones. Una aproximación desde la perspectiva del derecho de autor y la propiedad industrial." publicado por la Revista de Garantismo y Derechos Humanos del Centro de Investigaciones Jurídico - Políticas CIJUREP. Resumen: La inclusión de la inteligencia artificial en la vida de los seres humanos ha planteado novedosos cuestionamientos sobre si es posible reconocerle como autor o inventor y por ende sujeto de derechos y obligaciones pues, aunque parezca un cuestionamiento de ciencia ficción, esta problemática ha obligado a autoridades en la materia a emitir resoluciones al respecto. En este artículo abordamos diversos elementos que han servido de sustento para decidir sobre otorgamiento de registros de obras y títulos de patentes, en los cuales la inteligencia artificial ha jugado un papel preponderantemente dominante. De igual manera, abor
Publicar un comentario
Leer más