De acuerdo a información consultada con diversos expertos que nos han ayudado a investigar más sobre este tema, logramos encontrar la fecha exacta de subida del Padrón Electoral por parte del Partido Movimiento Ciudadano, situándolo en el mes de abril de 2015, en específico el día 24.
Por 241 días, el Partido Movimiento Ciudadano colocó de forma pública y sin restricciones de acceso, la base de datos de todos los mexicanos que tenemos credencial de elector, ¿qué tiene que decir el partido respecto a esto? Si atendemos su versión, ¿entonces por 241 días no supieron responder ante el supuesto “hackeo” que les hicieron?
Mientras nuestro equipo de investigación estuvo haciendo pruebas, adicionalmente encontramos más bases de datos, entre otras:
- Información de todos los puentes y casetas de cobro del país (México)
- Bitácoras de correo electrónico del ISSSTE
- Bitácoras de correo electrónico del IMSS
- Bitácoras de mensajes de bancos
- Bitácoras de datos de diversas universidades regiomontanas
- Bases de datos de estudiantes de diversas universidades del país
- Webcams en las ciudades principales del país que, incluso, nos muestran interiores de oficinas
- Expedientes completos de dos despachos de abogados litigantes en el país
Como comentaba en el resumen de la nota, nuestro equipo de asesores en temas de seguridad y en temas legales, se dio a la tarea de investigar la estructura de la base de datos de Mongo y los datos recopilados por Chris. Lo siguiente es un trabajo hecho, además, por Chris Vickery, Isaías Calderón y su servidor.
Chris, al igual que muchas otras personas que se dedican a estos temas, utilizó una herramienta llamada Shodan que ayuda a detectar diversos elementos, como:
- errores de configuración,
- puertos de conexión abiertos,
- bases de datos,
- protocolos de conexión y, más temas relacionados a la seguridad informática de diversos servidores.
Dicha herramienta puede ser utilizada para encontrar webcams activas alrededor del mundo, controles de tráfico y semáforos, hasta bases de datos completas de videojuegos (haciendo una investigación, encontramos una base de datos con perfiles de cientos de juegos para iPhone y Android).
Shodan es bastante intuitivo para quien lo usa por primera vez e, incluso, puedes hacer búsquedas específicas por país y ciudad para ver qué tipo de contenido encuentras.
Todo esto, al alcance de la mano de cualquier persona que sepa cómo hacer este tipo de búsquedas y todas ellas sin mecanismos de seguridad que las protejan.
Es más, sin necesidad de “contratar hackers que utilicen métodos altamente especializados” como lo indicó en su momento el Partido Movimiento Ciudadano, la información la puedes encontrar.
Siguiendo por el tema principal, Chris nos comenta que ninguna autoridad se había acercado a él recientemente para pedirle más información sobre lo ocurrido o, incluso, para saber si él tiene en su poder dicha base de datos aún.
Cómo ya lo ha comentado anteriormente, él cree firmemente que Movimiento Ciudadano ha estado mintiendo en sus declaraciones y obtuvo un pronunciamiento de Amazon sobre la seguridad de sus servicios y el hecho de que jamás fueron “hackeados”. Es más, fue el propio Amazon quien le advirtió a Movimiento Ciudadano de lo que pasaba, pues no se habían dado cuenta de ello. Copia de ese correo electrónico la tenemos nosotros como muestra de lo sucedido.
Adicional a esto, tenemos la seguridad de que Movimiento Ciudadano tenía una bitácora de conexiones hechas al padrón electoral pero, probablemente, la hayan perdido ellos mismos al dar de baja por completo la información que tenían almacenada, para evitar que alguien investigara de más. Lo que sí podemos decirles, es que al menos tenemos constancia de 4 conexiones hechas a esa base de datos antes de haber sido dada de baja:
- La primera desde la casa de Chris Vickery
- La segunda desde un hotel en Boston
- La tercera desde un avión de Southwest Airlines
- La última desde una conexión en una universidad de Boston
Por último, sabemos que Movimiento Ciudadano volverá a subir la base de datos a algún servidor para poder seguir utilizando los aplicativos que requerían de estos datos para funcionar. Esperamos que esta vez lo hagan con todos los servicios de seguridad posibles.
Pueden consultar nuestra nota anterior sobre qué fue lo que sucedió aquí
Anexamos algunos screenshots de Chris y nuestros:
Imagenes obtenidas por Chris Vickery
— 
—
—-
Y ahora, después de estos hallazgos: ¿qué opinan?
Director de Estrategias Corporativas en IT Lawyers, diseñando planes para ayudar a las organizaciones a cumplir sus objetivos en la parte legal/tecnológica, aplicando bastante creatividad en cada caso que nos llega