Respuesta a Movimiento Ciudadano

Movimiento Ciudadano colocó ayer un comunicado en su sitio web, intentando confundir a la opinión pública y atacando a diversos sitios de noticias que únicamente citaron a “expertos en seguridad” pero no dieron nombres.

Nosotros, como sitio especializado en información de este tipo, en la difusión de noticias y con un equipo representado por la firma más importante en Latinoamérica en lo que respecta a ciberseguridad y temas relacionados, IT Lawyers, nos vemos en la necesidad de responder sus falsos argumentos

Como ciudadano, reclamo que Movimiento Ciudadano me explique quién le autorizó a entregar los datos de mi credencial de elector a un particular

Para esta nota, copiamos su comunicado y vamos contestando cada uno de sus puntos:

Movimiento Ciudadano se representa en color azul, nuestras respuestas en color negro

1. Sobre el supuesto comunicado de Amazon Web Services.
Lo que hemos encontrado son referencias a opiniones de especialistas anónimos, la declaración de un vocero no identificado y una captura de pantalla atribuida a un supuesto comunicado de Amazon Web Services que, de ser genuina, confirmaría lo que Movimiento Ciudadano ha señalado:

Primero, los señalamientos hechos en este sitio en las notas “Historia real detrás del robo de datos del INE” y “Base de datos del INE: 241 días de forma pública” fueron firmadas por expertos de seguridad (entre ellos el propio Chris Vickery) y nunca referenciaron solo fuentes anónimas. Posterior a ello, vienen las comunicaciones oficiales de Amazon que, si Movimiento Ciudadano argumenta que pudieran no ser genuninas, ellos mismos podrían buscar a un experto en forensia digital que las pueda validar o, en su caso, llamar a la empresa directamente a sus oficinas para que conozcan la versión de estos.

a)      Amazon Web Services detectó y nos informó que la información que salvaguardamos estaba comprometida, es decir, se encontraba en sus servidores de manera no segura.

Amazon les informó que la información que subieron estaba insegura por culpa de Movimiento Ciudadano e Indatcom (empresa que es operada por miembros del propio partido y que no tiene conocimiento en seguridad informática alguno) este detalle, se los dió por la información obtenida por Chris, de no haber sido por él, Movimiento Ciudadano seguiría teniendo la información de millones de mexicanos en una nube insegura que ellos mismos crearon. En la nota Base de datos del INE: 241 días de forma pública pudimos corroborar que llevaba 241 días sin ningún tipo de seguridad y cualquiera podía tener acceso a ella. ¿Por qué tardaron 241 días, según su versión, en arreglar este problema? Si leemos los propios manuales de Amazon, podemos ver que la empresa pide a sus usuarios que ellos mismos establezcan medidas de seguridad para proteger la información

b)      Esto implica que las medidas de seguridad que implementamos fueron vulneradas, lo que refuerza nuestro señalamiento de que uno o más hackers rompieron nuestros protocolos de seguridad.

¿Medidas de seguridad vulneradas? Invito al partido y a su proveedor de sistemas que nos digan cuáles eran esas medidas porque, desde que subieron la base de datos, lo hicieron sin ningún tipo de mecanismo de seguridad.

c)      No hay ninguna contradicción entre lo señalado por Movimiento Ciudadano y la supuesta versión del comunicado de Amazon Web Services que ha sido difundida: la empresa detectó que no había candados de seguridad, y nosotros denunciamos que un ataque externo rompió nuestras medidas de seguridad.

La contradicción es muy sencilla: Chris Vickery y Amazon dicen que Movimiento Ciudadano no puso un solo control de seguridad para proteger la base de datos y lo demuestran con datos y el propio padrón. Le toca a Movimiento Ciudadano demostrar que “los vulneraron”.

2. Sobre las declaraciones de Chris Vickery:

a)      Vickery sostiene que encontró la información “sin contraseña u otra protección”. Movimiento Ciudadano ha declarado que uno o varios hackers, rompieron nuestras medidas de seguridad y dejaron nuestra información expuesta. Nuevamente, no hay contradicción.

Movimiento Ciudadano no fue capaz de poner un control de seguridad a la base de datos del INE, pero sí alega saber como detectar a un hacker y conocer medidas especializadas para romper su seguridad… Vaya contradicción de ellos mismos.

b)      Movimiento Ciudadano presentó una denuncia penal en contra de quien o quienes resulten responsables del ataque cibernético. En ningún momento se ha acusado a Chris Vickery; lo que hemos destacado de este personaje es que tiene conocimientos, herramientas y acceso a métodos especializados en seguridad cibernética y que, de manera recurrente, ha encontrado bases de datos privadas y las ha dado a conocer argumentando que no tenían candados o medidas de seguridad, como es el caso del padrón electoral de Estados Unidos en diciembre de 2015.

Varios voceros y miembros de su partido lo han señalado directamente en notas de prensa, entrevistas y comunicados en redes sociales. ¿Ahora se retractan?

Por lo tanto, insistimos en que un ataque cibernético externo rompió las medidas de seguridad que implementamos para proteger la información que salvaguardamos en servidores de Amazon Web Services.

Insistimos también en que seleccionamos esta empresa por ser una de las mejores compañías de la industria y finalmente, reiteramos que la información fue encontrada no por usuarios comunes, sino por especialistas en seguridad cibernética. Las versiones del supuesto comunicado de la empresa y del propio Chris Vickery lo confirman.

Amazon es una empresa muy fuerte en el mercado de servicios en la nube, cierto, pero eso no implica que los clientes como Movimiento Ciudadano lo sean. Si insisten en decir que recibieron un ataque cibérnetico, es prioritario que – así como ya hicieron público el Padrón Electoral – pues que hagan público el dictamen técnico que pruebe el ataque que mencionan.

Señores de Movimiento Ciudadano: La seguridad no se hereda, se aprende

Es importante que demos lugar a las investigaciones pertinentes de las autoridades y no especular o llegar a conclusiones, ya que el proceso de investigación está en curso.

Finalmente, el fondo del asunto gira en torno al mal uso que se le pudiera haber dado a la información que contiene el padrón, sin embargo esto nunca sucedió pues Movimiento Ciudadano jamás hizo uso indebido del padrón, y por lo tanto tampoco puso en riesgo la información de los mexicanos.

Como mexicanos llegamos a una conclusión: Movimiento Ciudadano es un partido que irresponsablemente subcontrató a una empresa sin conocimientos en seguridad informática, para tratar los datos de millones de ciudadanos en un servicio que nunca configuraron de la forma correcta y, por ende, terminó en manos de un número aún desconocido de personas.

Les repetimos, el encontrar esa base de datos era cuestión de hacer una búsqueda simple para cualquier técnico (que, según datos del INEGI y estudios de diversas universidades y empleadores), en este perfil caen cerca de 700,000 mil personas.

Es importante señalar también que la base de datos fue encontrada por Chris Vickery, especialista y experto en seguridad cibernética y que él, hasta donde sabemos, tampoco hizo mal uso de la información pues según relata, desde el primer momento en que lo encontró, informó a diferentes autoridades, norteamericanas y mexicanas, su hallazgo; éstas notificaron a Amazon Web Services y ésta a su vez, informó a Movimiento Ciudadano, a través de la empresa Indatcom, que los datos habían sido vulnerados y que debíamos tomar acciones para remover la información, por lo que Movimiento Ciudadano indicó a la empresa Indatcom, borrar dicha información del servidor.

Por lo anterior se puede asegurar que no se hizo uso indebido del padrón, ni que el mismo estuvo expuesto, ni accesible, al ciudadano común.

Por último, le pedimos algo a Movimiento Ciudadano: Que se hagan responsables por el error que cometieron, acepten su responsabilidad de haber cometido diversas faltas, acepten las sanciones que las autoridades deben imponer y que dejen de buscar salirse por la tangente y tergiversar la información pues, lo único que provocan, es que su reputación baje en todos los sectores de la sociedad.

Esta nota contiene opiniones personales que no necesariamente reflejan las opiniones del resto de personas que trabajan en este sitio

1 Comentario

  1. IT_guy

    Un ‘ciudadano común’ no es el que lucrará con tu información personal, tampoco es un ‘ciudadano común’ el que irá a tu casa a secuestrarte. Qué burla.

Dejar un comentario