Hackean los datos de 93 millones de votantes mexicanos

«En mis manos tengo algo peligroso» decía hace unos días el investigador en seguridad Chris Vickery. Había descubierto una brecha de seguridad que afectaba a más 93 millones de personas. Aunque la identidad del individuo que ha subido los datos de aproximadamente el 70% de los habitantes de México sigue siendo un misterio, lo cierto es que hay algo aún más preocupante: la base de datos de los votantes se encontraba en la nube de servidores de Amazon y no la protegía contraseña alguna.

«Estaba configurada precisamente para acceso público», dice Vickery, que hizo el descubrimiento el pasado 14 de abril. En total, 132 GB de información perteneciente a más de dos tercios de la población de un país que cuenta con cerca de 122 millones de habitantes. No es la primera vez que el investigador en seguridad descubre un agujero de seguridad: en diciembre del año pasado ya avisó de que unas 13 millones de cuentas de MacKeeper, una empresa especializada en ciberseguridad y en la que él mismo trabaja, se encontraban en la red al descubierto. Poco después también avisó que 3,3 millones de cuentas de juguetes Hello Kitty habían sido hackeadas. Y que 129 millones de votantes de los EEUU tenían sus datos al aire en Internet.

La ley mexicana castiga con penas de hasta 12 años de cárcel a quien extraiga y utilice información del gobierno para su propio beneficio. Los datos de los 93,4 millones de votantes fueron sustraídos del Instituto Nacional Electoral mexicano y en ellos figuraban nombres, apellidos, direcciones y números de documentos de identidad, aunque en algunos casos había más datos. El mismo día que Vickery descubrió la brecha avisó al Departamento de Defensa de los EEUU, a Seguridad Nacional, a la embajada de México en Washington, al INE y al propio Amazon. Pero no pareció causarles gran preocupación, ya que solo uno de ellos respondió al investigador… más de una semana después.

«Me pidieron una prueba del agujero de seguridad y me dieron un email al que mandarla. Les envié la explicación con la IP y dos pantallazos como prueba. La embajada nunca me respondió a ese correo», cuenta el investigador a Databreaches. De todos los organismos a los que Vickery se dirigió, el INE fue el único que le agradeció al investigador la falla descubierta, que por cierto ya han arreglado.

Vickery cuenta en el blog de su compañía que después de los ataques del 11-S, el gobierno de los EEUU adquirió un padrón similar a través de la empresa ChoicePoint por una cantidad cercana a los 250.000 dólares. Según la ONG Mexico Denuncia, en el país americano en 2014 se producían 88 secuestros cada día, y ese mismo año hubo, en total, 32.120 casos registrados. Registrados. En un país en el que los secuestros y los robos con violencia son un problema de carácter nacional, el padrón con los datos de 93 millones de personas es un diamante en bruto para las numerosas mafias -más de 80- que operan en el país del presidente Peña Nieto.