Ir al contenido principal

Experto en seguridad estadounidense y Amazon desmienten las declaraciones del partido político Movimiento Ciudadano

 --------- La siguiente entrada fue escrita en el año 2016 y fue recuperada del sitio: sontusdatos.org  ---------


MOVIMIENTO CIUDADANO (MC) AFIRMÓ EL 27 DE ABRIL QUE EL SERVIDOR DE AMAZON WEB SERVICES DONDE SOBRECARGO LA LISTA NOMINAL CON MÁS DE 93.4 MILLONES DE REGISTROS FUE ATACADO POR “HACKERS” QUE ROMPIERON LOS PROTOCOLOS DE SEGURIDAD, PERO EL ESPECIALISTA EN CIBERSEGURIDAD, CHRIS VICKERY, EN UNA ENTREVISTA CON SONTUSDATOS.ORG (ARTÍCULO 12 A.C.) EL DÍA 27 DE ABRIL, AFIRMÓ QUE LA EXPOSICIÓN DE LA BASE DE DATOS RESULTÓ DE UNA NEGLIGENCIA.




Ahí estaba (lista nominal electoral), sin contraseña, sin protección. Cualquier persona en el mundo podía descargarla (Chris Vickery)

¿Ataque de cibercriminales o falla premeditada?

Movimiento Ciudadano afirmó en el “Posicionamiento de Movimiento Ciudadano: Lista Nominal”, que:

10. Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.”

“12… Movimiento Ciudadano exige se castigue a los asaltantes cibernéticos que violentaron nuestros protocolos de seguridad.”

 

Movimiento Ciudadano afirmó que la base de datos de la Lista Nominal de Electores contaba con protocolos de seguridad, sin embargo Chris Vickery refutó dicha la afirmación:

“Es una mentira, una mentira. Cualquier persona en el mundo tenía acceso.  Lo único que necesitabas era una interfaz de bases de datos (software legal para realizar operaciones en las bases de datos) que cualquier puede descargar.  Yo suelo usar MongoVue.  Sólo ponías la dirección IP, y ahí estaba, sin contraseña, sin protección. Cualquier persona en el mundo podía descargarla.”

Amazon Web Services (AWS) a través de un comunicado señaló: “Todas las medidas de seguridad y redes operaron –y continúan operando– como fueron diseñadas. Una vez que AWS fue notificada de que una base de datos con información delicada fue almacenada de manera no segura en su nube y era accesible vía Internet, seguimos nuestros protocolos de seguridad a fin de confirmar desde ese momento que la base de datos no fuera accesible”.

El Consejero Electoral del INE Lorenzo Cordova ha afirmado que “Este asunto no está cerrado por las declaraciones que hizo ayer un partido político, por el contrario todo eso forma parte del expediente y será parte de las indagatorias que en breve culmine con una sanción ejemplar a los responsables de la vulneración de los datos de los ciudadanos mexicanos que estuvieron expuestos”

Amazon Web Services, Chris Vickery así como el INE han dado indicado que la base de datos expuesta no contaba con medidas de seguridad, por lo que Movimiento Ciudadano está mintiendo al decir que fue un ataque, que había implementado las medidas de seguridad adecuadas y que decidió hacer este resguardo para que no volvieran a ser víctimas del mal uso de esta base de datos.

Chris Vickery nos dijo que la explicación más lógica a la exposición era que la gente a cargo en el partido político olvidó configurar correctamente la base de datos, porque cuando descubrió el hecho, la base de datos no se veía como resultado de un ataque, sino como una mala configuración.


Indatcom S.A. de C.V. la empresa asesora de Movimiento Ciudadano

En la entrada 93.4 millones de registros de votantes mexicanos expuestos en Internet por Movimiento Ciudadano planteamos las preguntas ¿Contrató Movimiento Ciudadano a Indatcom S.A de C.V. sólo para la asesoría del resguardo de la información? ¿O también para la asesoría y administración del servidor contratado en Amazon? Preguntas que podrán responder Movimiento Ciudadano o la empresa Indatcom S.A. de C.V.

Sin embargo con información de Reporte Indigo la Indatcom S.A. de C.V. no es experta en ciberseguridad.

 “La empresa Indatcom, a la que el partido Movimiento Ciudadano (MC) entregó el padrón electoral con el propósito de resguardarlo, pero que terminó expuesta en el servidor de Amazon, está lejos de ser una compañía experta en ciberseguridad.”

“A lo que se dedica y por lo que cobra en los municipios gobernados por MC, es al manejo de redes sociales y marketing digital.”

“Ismael Sánchez Anguiano, quien aparece públicamente como dueño, más que un experto en seguridad tecnológica, es un todólogo que se dedica tanto a dar asesorías en redes sociales como a promover eventos culturales, conciertos y hasta carreras de zombies.”

“En Guadalajara, gobernado por Enrique Alfaro, bajo una empresa llamada Producciones Elide, durante este año Sánchez Anguiano ha recibido donativos millonarios autorizados directamente por el alcalde para la organización de eventos artísticos y culturales.”

En los comentarios de la entrada Amazon denies Movimiento Cuidadano’s claim that they were “hacked”  de www.databrecahes.net, el visitante Anon comentó “La empresa Indatcom ha facturado por sus servicios en 2015 un total de $127,582.76 MXN ($7,392.1894 USD) por mes. Lo que incluye servicios de transmisión en vivo (Livestreaming), administración de sitios web, licencias de Zendesk y Google Apps.”

 

No considero que haya sido un ataque.” “Se veía como una negligencia humana. (Chris Vickery)

 

¿Cuál fue la negligencia en la configuración de la base de datos?

Si la exposición de “93.4 millones de registros de votantes mexicanos expuestos en Internet por Movimiento Ciudadano” fue una negligencia, ¿Cuál fue la negligencia en la configuración de la base de datos?. Chris Vickery nos explicó que “La explicación lógica es que quitaron la contraseña. Cualquier versión reciente de una interfaz de administración de bases de datos, te obliga a usar contraseña, pero la persona que administraba la base de datos, quitó la contraseña.”

 

¿Negligencia? O ¿Acción premeditada?

Ante el cuestionamiento de ¿por qué removieron la contraseña? El experto estadounidense respondió:

“Por flojera, por conveniencia, para un fácil acceso. Podrían existir muchas razones pero todas llevan a una negligencia humana.  La otra posible explicación es que alguien ‘teóricamente’ haya entrado en la cuenta y después removido la contraseña. Pero es un escenario improbable. Lo más lógico es que ellos removieron la contraseña. Es la situación más común.  Estaba disponible para cualquiera en el mundo.”

 

¿Qué tipo de usuario pudo tener acceso y descargar la base de datos?

Movimiento Ciudadano afirmó en el “Posicionamiento de Movimiento Ciudadano: Lista Nominal” que, para hacer pública la información, fue necesario violar medidas de seguridad, romper protocolos de seguridad, utilizar métodos altamente especializados y que la información tampoco fue publica para usuarios en general, sino que fue necesario la intervención de hackers.

Dante Delgado (@DanteDelgado) dirigente de Movimiento Ciudadano ha afirmado que “La vulneración a nuestro sistema de resguardo es producto de una intervención de una persona especializada.” Pero ¿en verdad era necesario ser un experto en informática, ciberseguridad y otras ciencias para acceder al servidor y descargar la base de datos?

Según Vickery, no es el caso: “Un usuario con conocimientos básicos (o) cualquiera que haya leído un poco sobre bases de datos Mongo” hubiera podido acceder al servidor donde estaba hospedada la base de datos.

 

Por flojera, por conveniencia, para un fácil acceso. Podrían existir muchas razones, pero todas llevan a una negligencia humana.

 

La base de datos era de acceso público, sin ninguna medida de seguridad y tampoco era necesario ser un usuario experto.

La información que faltaba para entender lo que había pasado era conocer el procedimiento que se usó para descargar la base de datos. A la pregunta de saber cuál era ese procedimiento, Vickery contestó que sólo era suficiente“(u)sar una interfaz de bases de datos”.

 

 

A modo de Colación – Los Hackers VS Cibercriminales

Hacker: Investigador/a que con pasión y habilidad es capaz de hacer cosas con las tecnologías más allá de las que los propios creadores pensaron. Que busca los límites a la tecnología con el fin de mejorarla.”      Chema Alonso

Un hacker es un experto en seguridad informática, nunca un cibercriminal.  Es lamentable que confundan un “hacker” con un “cibercriminal”.

Movimiento Ciudadano debió acudir con expertos en ciberseguridad para proteger la Lista Nominal de Electores y evitar la filtración de millones de datos personales.


Comentarios

Publicar un comentario

Entradas más populares de este blog

Recomendaciones sobre el uso de ChatGPT en la administración pública.

El uso de la inteligencia artificial, como ChatGPT para el desarrollo de las actividades en la administración pública, sin duda conlleva enormes beneficios, pero su uso debe darse bajo criterios que busquen evitar transferir o revelar información confidencial y reservada. Image by rawpixel.com on Freepik El modelo de inteligencia artificial de OpenAI , denominado ChatGPT , brinda una interacción conversacional con resultados en tiempos breves, respondiendo a cuestionamientos y mostrando información de salida como si estuviera interactuando en una conversación, esto junto a su acceso “gratuito”, ha logrado que un enorme número de personas alrededor del mundo sean usuarios de esta IA, incluidas personas que trabajan en la administración pública, ya sea de nivel federal, estatal, municipal, organismos constitucionalmente autónomos y empresas paraestatales, además de los poderes legislativo y judicial. Sin embargo, el uso de diversas herramientas tecnológicas debe darse bajo criterios
Publicar un comentario
Leer más

Reforma Judicial en Puebla

En el mes de septiembre del 2022 se discute en el Congreso del Estado de Puebla una reforma al sistema judicial del Estado.  La iniciativa propone  reformar los artículos 12, fracción X, 37, fracción II, 57, fracciones XIV, XV XXIII y XXXI, 61, fracciones II y III, 86, 87, 88, 90, 91 y 94 de la Constitución Política del Estado Libre y Soberano de Puebla.   A continuación la transcripción de la reforma: DIPU T A D OS DE LA L X I LE G I SL A T U R A DEL HONORA B LE CONGRE S O DEL E S T A DO LIB R E Y S OBER A NO DE P UEBLA P R E S E N T E       C. L U IS M I G UEL G E RÓNI M O B A R B O S A H U ER T A, G o be r n ado r Co n stit u c i on a l de l Es t a d o L ib r e y S o be ra n o d e P u e b la, c o n f u nd am en t o e n lo d i s pue s t o p o r los a rtíc u los 6 3 , fracci ó n I , y 79 , fracci ó n V I d e la Co n stit u ci ó n Po l í tica d e l Est a d o L ib r e y S o b e ra n o d e P u e b l a ; a s í c o m o e n e
Publicar un comentario
Leer más

La inteligencia artificial como nueva frontera en el reconocimiento de derechos y obligaciones. Una aproximación desde la perspectiva del derecho de autor y la propiedad industrial.

A continuación presentamos el artículo denominado "La inteligencia artificial como nueva frontera en el reconocimiento de derechos y obligaciones. Una aproximación desde la perspectiva del derecho de autor y la propiedad industrial." publicado por la Revista de Garantismo y Derechos Humanos del Centro de Investigaciones Jurídico - Políticas CIJUREP. Resumen: La inclusión de la inteligencia artificial en la vida de los seres humanos ha planteado novedosos cuestionamientos sobre si es posible reconocerle como autor o inventor y por ende sujeto de derechos y obligaciones pues, aunque parezca un cuestionamiento de ciencia ficción, esta problemática ha obligado a autoridades en la materia a emitir resoluciones al respecto. En este artículo abordamos diversos elementos que han servido de sustento para decidir sobre otorgamiento de registros de obras y títulos de patentes, en los cuales la inteligencia artificial ha jugado un papel preponderantemente dominante. De igual manera, abor
Publicar un comentario
Leer más