Movimiento Ciudadano admite que subió los listados nominales a Amazon
El líder nacional de Movimiento Ciudadano, Dante Delgado, admitió este miércoles que de su partido salió la copia de la Lista Nominal —con 93.4 millones de registros con datos de los votantes mexicanos— que estaba disponible en un servidor de internet de Amazon sin contraseñas ni protección.
En conferencia de prensa en la instalaciones del Instituto Nacional Electoral (INE), Delgado explicó que su partido decidió contratar los servicios de Amazon Web Services para resguardar una de las tres copias del padrón que por ley les entrega el INE —dos de las cuáles, dijo, se regresaron al órgano electoral— y de donde el padrón fue robado por hackers profesionales.
"El viernes 22 de abril fuimos informados, a través de nuestro proveedor de servicios tecnológicos, que la empresa Amazon Web Services notificó que el servidor contratado había sufrido un asalto cibernético, que la información salvaguardada estaba comprometida por un ataque externo y, como parte de su protocolo de seguridad, solicitó removerla", detalló.
Por ello, Delgado negó que la información estuviera en venta o se estuviera comercilaizando en Amazon y señaló que este martes se presentó una denuncia penal contra quien o quienes resulten responsables del ataque cibernético ante la Fiscalía Especializada para la Atención de Delitos Electorales (Fepade).
"Queda de manifiesto que la información salvaguardada nunca estuvo a la venta, no se comercializó ni se le dio mal uso; tampoco fue pública para usuarios en general, sino que fue necesario la intervención de hackers especializados en romper protocolos de seguridad para poder obtenerla.
"En virtud de lo anterior, el día de hoy presentamos una denuncia penal contra quien o quienes resulten responsables del ataque cibernético realizado y que tuvo como objetivo acceder de manera ilegal a la información que salvaguardamos en una de las más prestigiadas empresas de resguardo y protección de datos.
"Movimiento Ciudadano exige se castigue a los asaltantes cibernéticos que violentaron nuestros protocolos de seguridad", expresó.
El consejero presidente del INE, Lorenzo Córdova, se pronunció este miércoles en el mismo sentido.
"El compromiso de esta institución (INE) es sancionar con todo el peso de la ley a quien haya sido responsable de esta lamentable puesta a disposición del público de la información de todos las ciudadanas y los ciudadanos mexicanos", señaló en un mensaje a medios, en el que recordó que, aparte de la sanción que pudiera imponer el Consejo General, presentaron una denuncia penal ante la Fiscalía Especializada en Delitos Electorales (Fepade) de la Procuraduría General de la República (PGR).
La semana pasada, un investigador de la empresa de seguridad estadunidense MacKeeper, Chris Vickery, reveló que la base de datos de la Lista Nominal de Electores -con 93.4 millones de registros que incluyen datos personales como nombre y domicilio de los votantes mexicanos- estaba disponible en un un servidor de internet de Amazon,
Tras esta divulgación, el INE interpuso una denuncia penal ante la Fiscalía Especializada para la Atención de Delitos Electorales (Fepade).
Luego de darse a conocer el supuesto asalto cibernético al servidor de Amazon, la empresa emitió una breve postura a través de un correo electrónico donde no confirma ni descarta el robo cibernético del padrón como lo señala el partido político, pero indica que en cuanto supieron que la información sensible fue almacenada de manera no segura en la nube y era accesible vía internet, se tomaron todas las medidas de seguridad para que la base de datos no fuera accesible.
“En relación con la detección de una copia de la Lista Nominal de Electores almacenada de una manera no segura en un espacio de almacenamiento en la nube de AWS, Amazon Web Services señala lo siguiente:
"Todas las medidas de seguridad y redes de Amazon Web Services (AWS) operaron –y continúan operando– como fueron diseñadas. Una vez que AWS fue notificado que una base de datos con información sensible fue almacenada de una manera no segura en la nube de AWS y era accesible vía Internet, seguimos nuestros protocolos de seguridad a fin de confirmar desde ese momento que la base de datos no fuese accesible", expresó la empresa a través de un vocero.
Lee: Los datos personales de los mexicanos, sin regulación ni protección
Aquí el posicionamiento íntegro que divulgó el partido a través de su página electrónica:
1. El 12 de febrero de 2015, Movimiento Ciudadano recibió tres copias de la lista nominal de electores en dispositivos USB para su revisión, tal como lo establece la ley.
2. La Comisión Operativa Nacional, órgano de dirección de Movimiento Ciudadano, tomó la decisión de devolver sin abrir dos de las copias mencionadas y realizar la salvaguarda de seguridad de la tercer copia, con el propósito de garantizar su integridad.
3. La decisión de hacer la salvaguarda de seguridad se tomó considerando la resolución por la que el Instituto Nacional Electoral sancionó a Movimiento Ciudadano, argumentando descuido en el cuidado del padrón electoral. Dicha sanción fue impugnada por carecer de fundamentos ya que en ningún momento se acreditó un nexo causal entre Movimiento Ciudadano y la empresa que hizo público el padrón; actualmente estamos a la espera de la resolución definitiva por parte del Tribunal Federal Electoral.
4. La Comisión Operativa Nacional solicitó a la empresa Indatcom, proveedor tecnológico de Movimiento Ciudadano, asesoría sobre la mejor manera de salvaguardar información.
5. Derivado de dicha consulta, la Comisión Operativa Nacional aprobó de manera unánime la decisión de realizar la salvaguarda de seguridad del padrón electoral en servidores propiedad de Amazon Web Services; empresa de resguardo, protección y administración de datos que cuenta con las más avanzadas medidas de seguridad y la mejor reputación a nivel mundial.
6. Entre los argumentos presentados para seleccionar los servidores de Amazon Web Services para la salvaguarda del padrón, destacan que es la empresa con más altos estándares de seguridad y protección de datos a nivel mundial, por lo que cuenta entre sus clientes a instituciones y organizaciones como la NASA, Samsung y universidades norteamericanas como Chicago, Notre Dame y San Francisco.
7. La empresa Indatcom S.A de C.V. realizó los trámites necesarios para la contratación de los servicios de Amazon Web Services, para salvaguardar la información, y entregó contraseñas y el uso exclusivo del servidor a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano.
8. El viernes 22 de abril fuimos informados, a través de nuestro proveedor de servicios tecnológicos, que la empresa Amazon Web Services notificó que el servidor contratado había sufrido un asalto cibernético, que la información salvaguardada estaba comprometida por un ataque externo y, como parte de su protocolo de seguridad, solicitó removerla.
9. Indatcom me notificó inmediatamente, en mi carácter de Coordinador de la Comisión Operativa Nacional, y tomé la decisión de acatar la recomendación de Amazon Web Services, por lo que di la instrucción de que el contenido fuera removido de manera definitiva.
10. Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.
11. Una vez expuesto lo anterior, queda de manifiesto que la información salvaguardada nunca estuvo a la venta, no se comercializó ni se le dio mal uso; tampoco fue pública para usuarios en general, sino que fue necesario la intervención de hackers especializados en romper protocolos de seguridad para poder obtenerla.
12. En virtud de lo anterior, el día de hoy presentamos una denuncia penal contra quien o quienes resulten responsables del ataque cibernético realizado y que tuvo como objetivo acceder de manera ilegal a la información que salvaguardamos en una de las más prestigiadas empresas de resguardo y protección de datos. Movimiento Ciudadano exige se castigue a los asaltantes cibernéticos que violentaron nuestros protocolos de seguridad.
13. Aprovecho para comunicarle al consejero presidente que estamos del mismo lado en este nuevo frente por la defensa de los datos personales de los mexicanos y de la seguridad digital de la nación, y que en todo momento colaboraremos con el Instituto Nacional Electoral, y demás autoridades involucradas, para encontrar y sancionar al o los hackers que realizaron este ataque cibernético.
14. Esta situación evidencia el riesgo latente en que se encuentran todas las bases de datos que están a disposición del Estado Mexicano y pone de manifiesto la necesidad de replantear y legislar en materia de seguridad digital para salvaguardar el derecho a la privacidad y la protección de los datos personales. Nuestros diputados asumen el compromiso de llevar esta agenda al Congreso de la Unión en los próximos días.