El padrón electoral fugado que estaba bajo resguardo de Movimiento Ciudadano

Aun cuando ya hay muchísimos artículos que cuentan lo que pasó en este caso de la fuga del padrón electoral mexicano, el objetivo de este artículo es identificar las áreas de oportunidad para que las partes interesadas —léase INE, INAI, Partidos Políticos y cualquier otro involucrado— puedan tomar las medidas necesarias (si les interesase hacerlo). Así que aquí van mis 2 centavos.

Primero haré una muy breve cronología de cómo me fui enterando de la información.

14 de abril – Chris Vickery encuentra la Base de datos almacenada en un servidor de AWS, sin password ni protección https://mackeeper.com/blog/post/217-breaking-massive-data-breach-of-mexican-voter-data

En un video Chris explica su hallazgo https://www.youtube.com/watch?v=H0mlhrtb4W0

Citando algunas palabras de Chris, encontró la base “completely unprotected by any password or authentication measure, that contains the voter registration records for the entire country of Mexico”.

Chris reportó esto al INE y su notificación fue ignorada.

22 de abril – La base de datos es dada de baja del servidor y el INE interpone una denuncia “Contra quien resulte responsable” http://www.excelsior.com.mx/nacional/2016/04/22/1088213#.Vxplf0r8aMY.twitter

El INE declara que había identificado el partido al que correspondía la lista nominal filtrada.

27 de abril – Movimiento Ciudadano acepta que la base filtrada era la que ellos tenían en su poder y presentan una nueva denuncia “contra quien resulte responsable” ante la PGR.

Aquí las declaraciones de Dante Delgado y palabras de Chris Vickery en video https://www.youtube.com/watch?v=8Sk1j8owuh0

Parte de la respuesta de Chris “… Anyone in the entire world would have access, it did not require any amount of hacking or any password or breaking any protection or whatever”.

El posicionamiento de Movimiento ciudadano en el punto 10 dice: “Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.”

Completo en: http://movimientociudadano.mx/federal/boletines/posicionamiento-de-movimiento-ciudadano-padron-electoral

28 de abril – Carmen Aristegui publica en su portal una respecto al tema.

En ella se menciona que recibió un comunicado de parte de Amazon Web Services que dice que la base del padrón en cuestión fue “almacenada de una manera no segura”. http://m.aristeguinoticias.com/2804/mexico/lista-nominal-que-subio-movimiento-ciudadano-almacenada-de-manera-no-segura-amazon/

Hay una línea de tiempo más completa en el artículo de Databreaches.net pero la anterior es para estar en contexto de las acciones realizadas.

http://www.databreaches.net/personal-info-of-93-4-million-mexicans-exposed-on-amazon/

Ahora la parte realmente interesante.

No olvidemos que anteriormente el partido Movimiento Ciudadano ya fue multado con 76 millones de pesos, multa que actualmente se encuentra en proceso de revisión por el tribunal electoral —de no ser así se podría hablar de reincidencia en términos legales. Esta multa se debió a que los consejeros resolvieron que el partido Movimiento Ciudadano (antes Convergencia) no implementó las medidas adecuadas de seguridad en el padrón del 2010 que recibieron, y los datos de éste se hicieron públicos en el portal buscardatos.com en 2013. http://www.eluniversal.com.mx/articulo/nacion/politica/2016/02/16/impone-ine-multa-de-76-mdp-movimiento-ciudadano

Para el caso actual, en el posicionamiento de Movimiento Ciudadano en el punto 7 dice “La empresa Indatcom S.A  de C.V. realizó los trámites necesarios para la contratación de los servicios de Amazon Web Services, para salvaguardar la información, y entregó contraseñas y el uso exclusivo del servidor a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano”.

En la página de esta empresa http://indatcom.mx/ no hay más información sobre los servicios que esta ofrece más que los de consultoría en comunicación digital, por lo que se me hace extraño que hayan contratado a esta empresa en un servicio que incluye “salvaguardar la información” cuando no se trata de una empresa dedicada a la seguridad de la información. Es factible suponer que los servicios contratados estaban relacionados con temas de “comunicación digital” y más aún porque en su página de Facebook https://www.facebook.com/Indatcom/ se definen como “Servicios de publicidad”. Siendo así, ¿podríamos suponer que los servicios tenían que ver con Publicidad dirigida a las personas listadas en el Padrón filtrado?

¿Era Indatcom una empresa con las capacidades para manejar información con el grado de sensibilidad que significa el Padrón Electoral?

Según lo descrito por Vickery la base de datos era un recurso de MongoDB que no tenía contraseña; la existencia de esta base de datos dejó huella, el internet no olvida fácilmente.

En un sitio dedicado al mapeo de recursos accesibles desde el Internet encontramos información sobre la IP del servidor y los servicios que tenía activos, entre ellos el de MongoDB y que permitió ver las bases de datos disponibles en ese momento, 3 en total, entre ellas una llamada “padron2015”. Esto además de evidenciar la existencia del servidor de base de datos, evidencia también la falta de parámetros de seguridad que impidieran consultar las bases de datos disponibles.

En el sitio de Amazon podemos encontrar un documento sobre la responsabilidad compartida https://aws.amazon.com/es/compliance/shared-responsibility-model/ que delimita por una parte los componentes de seguridad que Amazon implementa para salvaguardar los recursos que proporciona y, por otro lado, la seguridad que debe implementar el cliente en cuanto a sus plataformas, aplicaciones y bases de datos. Esto segundo fue lo que se dejó desprotegido.

Después viene toda una serie de dimes y diretes, ocultos entre declaraciones vagas de parte de Movimiento Ciudadano, que en algunas parecía culpar a Chris Vickery como responsable del presunto hackeo, después parecía culpar a Amazon de que habían sido vulnerados en sus medidas de seguridad y al final diciendo que sus declaraciones coinciden con las de Vickery y Amazon, y que en algún momento en el tiempo, alguien “hackeó” la base de datos, eliminó las contraseñas y la dejó desprotegida.

En la preparatoria me enseñaron un principio llamado Occam's razor que dice que la respuesta más simple suele ser la más probable. Y en este caso, qué es más probable: que haya llegado un hacker súper especializado a romper los complejos protocolos de seguridad implementados por un partido político y su proveedor de marketing digital, haya eliminado las contraseñas y dejado la base expuesta; o que desde un inicio la contraseña nunca existió. Si la opción fuera la primera, ¿no habría habido muchos más “Hackeos” similares a las millones de empresas que utilizan este servicio? (Por cierto la respuesta es que no los hay). Si bien hay miles de hackeos al año, no se sabe de alguno que haya logrado romper los métodos de autenticación y cifrado de Amazon.

Esto sería muy fácilmente evidenciable mostrando las bitácoras de instalación, administración y accesos a la base de datos, que cualquier administrador de sistemas que aplique las mejores prácticas de seguridad para un sistema que resguarda datos tan confidenciales, habría habilitado y mantendría para casos como este.

Algunas referencias sobre reportes recientes:

• http://www.kroll.com/data-breach-trends-report
• http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/

Por último, el 1 de junio de 2015 se publicaron en el diario oficial de la federación los “LINEAMIENTOS QUE ESTABLECEN LOS PLAZOS, TÉRMINOS Y CONDICIONES PARA EL USO Y ENTREGA DEL PADRÓN ELECTORAL Y LA LISTA NOMINAL DE ELECTORES A LOS ORGANISMOS PÚBLICOS LOCALES PARA LOS PROCESOS ELECTORALES 2014-2015” http://dof.gob.mx/nota_detalle.php?codigo=5394720&fecha=01/06/2015

En él se establecen varios puntos interesantes:

Evidentemente los mecanismos, cualesquiera que hayan sido, no garantizaron que la información no fuera reproducida o accedida. Por otro lado, es cuestionable el uso que se le dio a la base de datos dado que se contrató a una empresa de publicidad para procesar una base de datos que se proporciona con fines de legitimar el proceso electoral.

Reflexiones finales:

• Aun cuando la ley lo establece, es interesante cuestionar si es realmente necesario compartir el padrón electoral con los partidos políticos, pues parece que está más allá de la responsabilidad que ellos pueden tomar y de sus capacidades.
• ¿Era Indatcom una empresa con las capacidades para manejar información con el grado de sensibilidad que significa el Padrón Electoral?
• Es necesario contar con mecanismos para recibir notificaciones sobre vulneraciones y procedimientos con las acciones a seguir al recibir una notificación de que la información a nuestro cargo o custodia fue vulnerada.
• Los administradores de bases de datos y sistemas (y más en caso de que haya datos personales involucrados) deben usar mecanismos de autenticación, disociación, separación y cifrado robustos para evitar fugas de información, accesos, eliminaciones o alteraciones no autorizadas.
• Contratar personal especializado y competente para realizar las labores de administración, manejo y establecimiento de medidas de seguridad, considerando que el nivel de competencia debe ser directamente proporcional a la sensibilidad, confidencialidad y clasificación de la información involucrada.
• Solicitar siempre asesoría de expertos en caso de ser necesario.

[Actualización del 3 de mayo de 2016]

En los acuerdos de la sesión del INE del día 27 de enero de 2016 se encuentra uno que dice: “El proyecto de acuerdo establece que el Padrón Electoral no incluirá el domicilio de los ciudadanos”, disposición específica que fue aprobada por seis votos a favor y los votos en contra de las Consejeras Adriana Favela y Beatriz Galindo, así como de los Consejeros Enrique Andrade, Marco Baños y José Roberto Ruiz.

http://www.ine.mx/archivos3/portal/historico/contenido/comunicados/2016/01/20160127-2.html

El día 2 de mayo de 2016 la Comisión del Registro Federal de Electores del INE aprobó nuevos lineamientos o candados que obligan a los partidos políticos a revisar in situ el padrón electoral, mientras que el listado nominal sólo contendrá nombre del ciudadano, sección y distrito, no así domicilio ni la clave de elector.

Esta revisión in situ consiste en una consulta que podrán hacer los partidos en las instalaciones de INE, de tal suerte que no podrán sacar la información. “No hay forma de guardarla, transferirla y/o imprimirla y llevársela, solo es una consulta en pantalla”.

Más información en http://www.animalpolitico.com/2016/05/los-nuevos-candados-del-ine-para-que-partidos-consulten-el-padron-y-no-se-filtre-a-en-internet/

Se trata de un cambio positivo que esperemos prospere ante las instancias que tengan que ratificarlo para su implementación definitiva, en particular el Consejo General. Lamentablemente varios partidos políticos se opusieron a este tema, argumentando que ellos “no tuvieron la culpa”, que “estamos pagando justos por pecadores”; sin embargo el que nos hayamos enterado de una fuga, no implica que no haya habido otras o que otros partidos no hayan usado el padrón para fines desapegados a la finalidad por la que se les comparte la información del mismo.