La información personal de más de 93.4 millones de votantes mexicanos fue expuesta esta semana en un servidor de los Estados Unidos.
Una base de datos, que no estaba protegida con contraseña, supuestamente incluía nombres de ciudadanos, domicilios, fechas de nacimiento, información de trabajo, y también nombres de familiares, según investigador de seguridad Chris Vickery. La identidad de la persona quien bajó la base de datos a un servidor de Amazon sigue desconocida.
Pero esta base de datos ha sido asegurada. Según Vickery, no contenía información de finanzas.
El descubrimiento de esta base de datos primero fue reportado por DataBreaches.net. No se hizo público la filtración mientras oficiales del gobierno investigaron, según DataBreaches.net reportero Dissent Doe, quien usa un seudónimo.
Un oficial del Instituto Nacional Electoral (INE) dijo que este servidor no era propiedad del gobierno mexicano.
Un portavoz del INE no fue disponible para hablar con el Daily Dot.
El propietario del servidor sigue siendo un misterio. Según Vickery, no tenía ningún tipo de protección, o contraseña, o algún modo de autenticidad. Estaba configurado para acceso público, según Vickery.
El viernes Vickery mandó un récord individual al Daily Dot para verificar su descubrimiento.
Vickery reportó todo con el Departamento de Estado EE.UU. y su oficina de asuntos para México, pero la base de datos se mantuvo conectada al Internet. También habló con el Servicio Secreto, Departamento de Seguridad Nacional, y el Equipo de Preparación de Emergencia Información EE.UU., la agencia responsable de reconocer amenazas cibernéticas contra el país. Pero hablando con el gobierno no cambió la situación.
El sistema de Amazon para reportar la filtración también causó problemas, según Vickery. Tuvo que meter información irrelevante, y eventualmente les mando un correo electrónico:
“This is not an acceptable response. My abuse report clearly explained that the database is a server using MongoDB software. I gave the IP address and port number. That is the only existing connection information available (and it is all you should need).”
Vickery, pensando que esta situación podría tener consecuencias de vida o muerte, continuó hablando con Amazon y mando este correo:
“The existence of this database is, itself, a violation of federal Mexican law. The server is, at this very moment, allowing the public to copy 93.4 million voter registration records. Under Mexican law, these records are ‘strictly confidential’.”
“People’s lives are at stake here. Kidnapping is a considerable problem in Mexico. Right now one of your servers is handing out the home addresses of 93.4 million Mexicans. Is Amazon seriously not willing to do anything about this?”
Por fin, el viernes en la mañana la base de datos se cortó. Amazon también a Vickery le mandó una disculpa.
Esta no es la primera vez que información confidencial de votantes se ha encontrado dentro de los servidores de una compañía americana. En 2003, empresa de Atlanta ChoicePoint Inc. compró información de votantes mexicanos por 250,000 dólares americanos.
ChoicePoint mandó está información al gobierno, y la presidencia de George W. Bush le regresó un contrato de cinco años que valió 67 millones de dólares.
Un subsidiario de ChoicePoint, Database Technologies, también fue contratado por el estado de Florida durante la administración del gobernador Jeb Bush. La compañía fue contratada para reformar la base de datos de votantes, pero en lugar descalificó a miles de votantes legales según una investigación de BBC Newsnight.
En diciembre, Vickery encontró una situación similar con 191 millones de votantes americanos.
Editor’s note: Translation by Evening Editor Ramon Ramirez. The English version can be found here.