Son muchas las conjeturas que la prensa no especializada ha hecho con respecto a la publicación del padrón electoral en Amazon pero, ¿fue un robo? ¿Movimiento Ciudadano fue hackeado? ¿Amazon fue hackeado para obtener la base de datos? ¿Cómo sabían los ciberdelincuentes dónde buscar? ¿Es cierto que de 3 memorias USB con esa base de datos solo una la tienen ellos?

Les dejo esta crónica de lo que realmente sucedió, con información recibida de Chris Vickery, Iván Chávez y algunos otros que no puedo mencionar:

En el mes de Febrero del año pasado, el Instituto Nacional Electoral creó varias decenas de USBs con la base de datos actualizada del padrón electoral hasta ese momento para las diversas fuerzas políticas del país, todas ellas con el mismo contenido. Tres de ellas fueron enviadas al partido político Movimiento Ciudadano.

Estas memorias fueron recibidas por dicho partido el día 12 de Febrero de 2015, pero devolvieron 2 de ellas, según argumentan, por no considerar que pudieran serles útiles más copias. De este hecho, no hay ninguna constancia.

A partir de ahí, Movimiento Ciudadano y su proveedor de tecnología, la empresa Indatcom SA de CV, decidieron que la mejor forma de almacenar dicha base de datos era en los servidores de Amazon Cloud. Y aquí vienen los siguientes cuestionamientos:

  1. Indatcom (una empresa íntimamente ligada al partido y que incluso ha estado sujeta a investigaciones por haber recibido contratos por más de 40 millones de pesos por parte del propio partido y de los gobiernos que este maneja) es una empresa dedicada a marketing digital y nada más, entonces ¿por qué pedirle consejos sobre servicios web que cumplan con la regulación mexicana y que sean informáticamente seguros si nunca lo han hecho?
  2. Amazon Cloud es un servicio que cada administrador personaliza a modo de lo que busca qué haga y de forma bastante intuitiva puede implementar controles de seguridad ¿Movimiento Ciudadano cuenta con un experto en seguridad informática para este tema? ¿O simplemente decidieron que Indatcom podía hacerlo todo?
  3. Es muy probable que esa base de datos haya sido subida con el propósito de que los datos ahí almacenados fueran consultados por diversas aplicaciones sin mayor problema que la conexión con el propio servicio de Amazon, aplicaciones que seguramente Movimiento Ciudadano usaba para administrar los datos de los votantes en cada uno de sus distritos. ¿Sabemos dónde aloja ahora Movimiento Ciudadano esa base de datos? ¿Por qué no comparte la bitácora de solicitudes que los propios servicios de Amazon dan sobre las peticiones a bajar un archivo?
  4. Recordemos que Indatcom es una empresa de mercadotecnia. ¿Movimiento Ciudadano y el INE ya hicieron alguna investigación en la empresa, con base en Guadalajara, para verificar que otras copias pueden tener? ¿Han verificado la seguridad que tienen dichas copias? ¿Qué seguridad tenemos de que esta empresa no ha compartido esta base de datos con sus empresas filiales o con otros clientes?
  5. Movimiento Ciudadano argumenta haber revisado el cumplimiento normativo de Amazon Cloud para poder contratarlo, sin embargo, los términos y condiciones de esta empresa mencionan que únicamente dan cumplimiento a legislación en materia de datos personales que proviene de Estados Unidos y de ningún otro país. ¿Por qué a sabiendas de esto decidió contratarse el servicio? ¿Por qué si Amazon no cumple con los criterios establecidos en la ley en materia de privacidad, Movimiento Ciudadano dice que sí lo hace?

Adicional a esto, buscamos los informes de seguridad de Amazon del último año y no ha habido ningún tipo de vulneración a sus servicios que pudiera afectar la integridad de los mismos.

Un dato muy importante, me lo da Chris Vickery: MongoDB (el tipo de base de datos usada) viene por defecto con controles de seguridad como contraseñas de acceso, fue el propio partido y su asesor tecnológico quienes tuvieron que quitar dichos controles para hacerla accesible a sus aplicaciones desarrolladas.

Como conclusión, podemos decir que la declaración hecha por Movimiento Ciudadano sobre un ciberataque a su servicio contratado en Amazon Cloud es un hecho falso y todo se debió a su negligencia en el trato de los datos dados por el INE. Esperamos que la autoridad tome cartas en el asunto y sancione a la empresa y al partido por tomarse tan a la ligera la seguridad informática.

Mañana esperen nuestro artículo especial hecho con Chris Vickery sobre lo acontecido y su opinión respecto a este tema y los señalamientos de Movimiento Ciudadano.