El sitio de transparencia de EU divulga datos por error

Tal Kopan

WASHINGTON - Un sitio web de transparencia del gobierno federal hizo públicas docenas (si no es que cientos) de números de Seguridad Social de Estados Unidos y otra información personal por un error de diseño durante una actualización del sistema.

El error, en un portal de solicitud de la Ley de Libertad de Información (Freedom of Information Act o FOIA, por sus siglas en inglés), fue corregido después de que CNN alertara al gobierno sobre la situación. Sin embargo, durante semanas previas, la información personal sensible de las personas estuvo disponible en la base de datos pública sin que ellos ni el gobierno supieran.

Después de un aviso de una fuente que había notado la falla, con dos búsquedas rápidas, CNN descubrió que el gobierno había publicado al menos 80 números de Seguridad Social completos o parciales. Había otras instancias de información personal confidencial, incluyendo fechas de nacimiento, números de identificación de inmigrantes, direcciones y detalles de contacto.

Lee: El uso de IoT en el sector salud, una herramienta de doble filo .

El error también expuso otra información sensible sobre las personas. En un caso, una víctima de un crimen violento que buscaba información sobre el caso describió el crimen. En otros, las víctimas de fraude de identidad que buscaban más información sobre sus casos quedaron con sus números de seguridad social expuestos en el proceso. (En algunos casos, las agencias gubernamentales requieren que los estadounidenses presenten solicitudes de FOIA para obtener su propia información personal.)

Antes de la publicación, CNN alertó al gobierno sobre el problema. Un portavoz de la agencia que mantiene el sitio web dijo a CNN que la información ha sido protegida. Las agencias involucradas también fueron notificadas de la situación.

El portal, foiaonline.gov, es el centro único de información para las solicitudes de la Ley de Libertad de Información ante una serie de agencias gubernamentales, que van desde Aduanas y Protección Fronteriza hasta la Administración de Pequeñas Empresas. Está diseñado para ser un medio simplificado y transparente para que los estadounidenses soliciten información a su gobierno.

Cómo se cometió y se abordó el error

Una falla de diseño también reveló información sobre el solicitante sin salvaguardas para su información de identificación personal.

El problema se dio con la función que permitía a cualquier persona buscar las solicitudes de FOIA existentes. La idea es que las personas puedan ver lo que ya se solicitó, quién lo hizo y, en algunos casos, lo que probablemente fue proporcionado.

Cuando los usuarios hacen clic en la solicitud individual, se retiene el campo de descripción, en espera de la aprobación de la agencia. Sin embargo, esas descripciones se veían en su totalidad en la página de resultados de búsqueda, incluso si los estadounidenses habían incluido sus números de seguridad social o los de otros o cualquier otra información personal.

Recomendamos: Google protege todas tus contraseñas con Titan .

El centro de intercambio de información FOIA es operado por la Agencia de Protección Ambiental (EPA, por sus siglas en inglés), que proporciona los recursos de tecnologías de la información para mantenerlo. Sin embargo, depende de cada agencia gubernamental que utilice el portal tomar las precauciones de ingresar la información correctamente.

Cuando se cambió el sitio web de la versión 2.0 a la versión 3.0 el 9 de julio, la característica de enmascarar las descripciones dejó de existir. Nadie fue consciente del problema hasta que CNN lo alertó. Al ser alertados, la oficina de la EPA que administra el sitio dijo que intentó volver a enmascarar toda la información que era una preocupación de privacidad obvia, incluida información confidencial como los números de Seguridad Social.

Sin embargo, debido a que las solicitudes FOIA son información pública, corresponde a las agencias involucradas determinar si se debe retener la información con base a una aplicación caso por caso de cualquier exención de la FOIA.

Por lo tanto, la EPA dijo que no podía simplemente activar un enmascaramiento general de todas las descripciones en el sitio 3.0 porque eso podría haber ocultado cosas que las agencias ya han determinado que son públicas.

Te puede interesar: Microsoft y Alestra estrenan nube híbrida en México por 150 dólares mensuales .

Después de completar lo que la EPA determinó que estaba dentro de su capacidad, se envió un aviso a todos los administradores del sistema FOIA de la agencia para que verificaran qué tenían bajo su control y si querían que cierta información fuera pública. Ese aviso se emitió el jueves por la noche, después de que EPA completara su parte del trabajo.

“Recientemente se descubrió que la información PII (SSN) en algunos registros estaba expuesta al público”, indicó el correo electrónico, según una copia obtenida por CNN.

PII significa información de identificación personal, por sus siglas en inglés. “La PMO [Oficina de Gestión Primaria, por sus siglas en inglés] ha identificado la causa de este problema y esta tarde implementó correcciones de programas que resolvieron los problemas.

Este tema será publicado en breve por la prensa. También se informará que, después de nuestra corrección, algunos nombres y las direcciones aún aparecen en los registros FOIAonline disponibles públicamente. Una revisión realizada por la PMO encontró que esta información ha sido marcada como públicamente visible por las agencias responsables. Se solicita a las agencias asociadas que revisen la información pública para asegurarse de que toda información personal esté específicamente diseñada para ser presentada como tal”.

Lee: Instagram tendrá nuevas medidas de seguridad para evitar cuentas falsas .

Aunque las solicitudes de FOIA para el gobierno se consideran públicas, existen muchas excepciones que el gobierno a menudo aplica a la privacidad individual protegida.

El portavoz de la EPA, John Konkus, dijo a CNN que la agencia también investigaría si está justificado tomar una acción adicional.

“La EPA conoce y trabaja con las agencias asociadas para resolver un problema con el sistema FOIAonline 3.0”, dijo Konkus.

“El problema afecta a un número limitado de casos e inadvertidamente muestra información descriptiva que, en algunos casos, puede incluir números de seguridad social. La EPA seguirá los procedimientos de infracción de la agencia para evaluar más la situación y tomar las medidas de mitigación apropiadas”.

No se sabe cuántas personas pudieron haber tenido información expuesta durante la falla y por cuánto tiempo. La transición al nuevo sitio se produjo a mediados de julio, pero solicitudes anteriores del FOIA siguen siendo migradas al nuevo sitio.

'Desafía la lógica'

“Este es un error realmente significativo”, dijo Nuala O'Connor, ex jefa de privacidad del Departamento de Seguridad Nacional.

“Este tipo de datos permite a las personas involucrarse en el robo de identidad o algún tipo de acoso u otro comportamiento malicioso”, dijo O'Connor, presidenta y CEO del Center for Democracy and Technology, un grupo de defensa de la privacidad y las libertades civiles. “Pone en mayor riesgo a las personas potencialmente ya vulnerables”.

No existe una exención de responsabilidad para excluir información confidencial de la solicitud cuando los usuarios envían solicitudes FOIA.

Recomendamos: ¿Cómo puede México aprovechar la inteligencia artificial?

De hecho, el formulario de Aduanas y Protección de Fronteras alienta a cualquier persona que busca información sobre sí mismo a “incluir la mayor cantidad de información posible para ayudarnos a ubicar el (los) registro (s) que busca, incluyendo su fecha de nacimiento, número de extranjero [un identificador número para los inmigrantes a Estados Unidos], los nombres de sus padres y cualquier pseudónimo que haya utilizado al momento de ingreso o aprehensión”.

Sin embargo, el formulario de la Administración de Seguridad Social dice que el sitio web no es el lugar apropiado para realizar solicitudes sobre registros individuales.

Un aviso de privacidad vinculado en la parte inferior del sitio web advierte que “toda información personal incluida en el formulario de comentarios se enviará al Departamento o Agencia a la que se dirige su solicitud y podría ser divulgada públicamente en FOIAonline o a sitios web de terceros en Internet”.

Incluso si hubo algún tipo de divulgación sobre el riesgo de que la información se hiciera pública, O'Connor dijo: “desafía la lógica y desafía la expectativa que alguien pueda pensar que su número de Seguridad Social está siendo expuesto al procesar una solicitud como esta en línea”.