El caso Amazon Web Services: ¿hackeo o error al subir el padrón electoral mexicano?
Descarga el PDF
El caso Amazon Web Services: ¿hackeo o error al subir el padrón electoral mexicano?
Hay lecciones de ciberseguridad que pueden costar millones de pesos, una fuerte caída en la reputación o hasta poner en riesgo la seguridad nacional de un país. Este es el caso del partido político Movimiento Ciudadano, quien en un descuido, desconocimiento o engaño, confío a la empresa InDatcom la “subida” de una copia del padrón electoral mexicano a la nube de Amazon Web Services.
Hasta ahí todo parecía ir bien, hasta que el 14 de abril un investigador de la compañía MacKeeper, Chris Vickery, quien había estado navegando por internet con una herramienta de seguridad conocida como Shodan, descubrió que la enorme base de datos de los registros de votantes mexicanos estaba a disposición del público en la red, sin contraseñas, libre.
Los nombres, direcciones, fechas de nacimiento y números de identificación de más de 90 millones de mexicanos estaban incluidos en la memoria caché del proveedor de nube en Estados Unidos, y el desastre político inició.
Desde el descubrimiento de Vickery, tuvieron que pasar ocho días para que se bajaran los datos, o se bloqueara la entrada pública a esta parte de la nube. Sin embargo, hoy se sabe que desde marzo de 2015 se encontraban almacenados estos documentos de seguridad nacional en Amazon Web Services, y no se sabe si abierto a quien los encontrara en la red.
Más allá de los temas legales sobre la inconveniencia de sacar este tipo de documentos del país; las posibles sanciones que resulten de la investigación y la tardanza del proveedor y las autoridades para reaccionar ante este caso de ciberseguridad, el riesgo de que estos datos se encuentren en manos del crimen organizado o de personas que lo usen con malos fines, es una realidad.
La falta de conocimiento sobre el uso de la nube, como asegurar los datos o inclusive no confiar en proveedores locales puede ser un factor determinante para que una empresa se vea envuelta en un escándalo que le cueste su propia existencia.
EL CASO AMAZON WEB SERVICES NO ES INFRECUENTE
Recientemente se informó que datos de 70 millones de votantes en Filipinas se habían filtrado en internet, sin conocer cómo fue posible. En el caso de México, esta es la segunda vez que se filtraba un padrón de votantes. La vez anterior, se podía encontrar en un sitio web que lo vendía por 250 dólares, o comprarse en un disco de almacenamiento en la zona de Tepito. En aquella ocasión, fue el mismo partido político, Movimiento Ciudadano, el autor de la falla.
Vickery comentó en entrevista que su principal preocupación tiene que ver con que esta información esté en manos del crimen organizado, pues está documentado sobre los casos de extorsión y secuestro que se realizan cotidianamente en México.
“En esta nación, donde hay hasta 100 mil personas secuestradas cada año, los datos sobre domicilios podrían ser considerados especialmente sensibles”, explicó Vickery.
Legalmente esto es una violación significativa a la ley, pues se prohíbe la exportación de información personal sin un permiso de la autoridad, en este caso el Instituto Nacional Electoral (INE). Una razón más para que las empresas entiendan sobre cuándo es bueno y cuándo no llevar su información a servidores en el extranjero.
Durante una conferencia, Movimiento Ciudadano, a través de su coordinador nacional Dante Delgado, anunció que interpuso una denuncia penal contra quienes resulten responsables de haber hackeado el padrón electoral que el partido dio a resguardar a la empresa Amazon Web Services.
La compañía estadunidense reviró horas después, asegurando que la información subida por el partido político fue “almacenada de una manera no segura en la nube de Amazon Web Services. Carecía de contraseña y estaba visible en internet”, por lo que descartó un hackeo.
Lo cierto es que el uso a gran escala de la computación en nube está creciendo rápidamente. Tan atractivos son estos entornos como riesgosos, sino se tiene al proveedor correcto, o se desconocen las bases de la ciberseguridad en este tema.
Los ejecutivos se preguntan si los proveedores externos pueden proteger los datos sensibles, garantizar el cumplimiento de las regulaciones y, sobre todo, donde serán almacenados y quién puede acceder a los datos.
Las grandes instituciones, que tienen muchos tipos de información sensible para proteger y muchas soluciones en la nube para elegir, deben equilibrar los beneficios potenciales contra, por ejemplo, los riesgos de violación de la confidencialidad de datos, integridad de identidad y acceso, y la disponibilidad del sistema.
El uso de la nube crea retos de protección de datos en los servicios públicos, así como en los entornos privados. Lo ideal como empresa o institución de cualquier tipo, es informarse y contratar a expertos en temas de gestión de servicios de TI, y no sólo confiar en su agencia de marketing.