Hoy en día, los datos sobre votantes están igualmente sujetos a ataques maliciosos como los datos de, por ejemplo, tarjetas de crédito y débito. Sobre todo cuando la infraestructura donde están alojados carece de implementaciones de seguridad adecuadas. De hecho, este problema ya tiene un alcance global. Aunque existe una amplia cobertura mediática internacional en torno al hackeo y brecha de datos en elecciones políticas, cómo han sido filtrados a través de correos, cómo el Estado ha participado en campañas de desinformación o qué tan insegura puede ser la infraestructura (por ejemplo, vulnerabilidades en el software utilizado en las cabinas electorales), cabe mencionar que los datos sobre votantes también están en riesgo. Pueden estar expuestos a ataques maliciosos, filtraciones accidentales, configuraciones de seguridad deficientes o robos de equipos electrónicos. Independientemente de cómo se exponen, estos datos comprometidos generalmente incluyen datos sensibles e información que puede identificar a personas. Por mucho que los datos acerca de votantes puedan ser un recurso político, también son una responsabilidad.
Según un reporte del "Center for Strategic and International Studies" y McAfee, más de tres billones de credenciales de acceso a cuentas de internet y otros tipos de datos personales han sido robados por hackers. En dos de cada tres casos, las personas afectadas ni saben que sus datos han sido comprometidos. Entre los casos con más repercusión mediática está la brecha de datos de la agencia de reporte de créditos Equifax donde se expusieron datos financieros personales de 143 millones de personas consumidoras de Estados Unidos; el hackeo de los registros de más de 1 billón de usuarias de Yahoo; y la 'brecha de datos de una empresa líder en Sudáfrica que supuso la pérdida de información de identificación personal de un estimado de 31 millones de personas, incluyendo al presidente, al ministro de Finanzas y al ministro de la Policía. Estos datos contenían información sobre ingresos económicos, direcciones y números de teléfono.
Cuando se comprometen datos sobre votantes, generalmente implican dos posibles fuentes:
↘ Registros oficiales de votantes: aunque varía de país en país, la mayoría de los registros de votantes consisten en una combinación de datos como nombre, fecha de nacimiento y lugar actual de residencia, proporcionadas por la propia persona o automáticamente actualizado por entidades estatales o gubernamentales. Según la estructura y organización a nivel nacional, los registros oficiales pueden ser administrados a nivel estatal o local. En los Estados Unidos, según el Estado, dicha información es almacenada en hojas de cálculo digitales y puede ser enviada por correo electrónico a quienes compran/adquieren estos ficheros de votantes. Los registros de votantes pueden estar centralizados en registros a nivel nacional, como es el caso de Reino Unido donde dichos datos pueden ser adquiridos en diferentes formatos de hoja de cálculo además de formato impreso.
↘ Ficheros de votantes: creados internamente por partidos políticos o por consultores en datos políticos para fines de campaña política. Estos ficheros suelen estar compuestos por detalles básicos de contacto, generalmente obtenidos por registros públicos o de gobierno, como los censos y datos de registro de votantes y, en muchos casos, complementado con datos de terceros provenientes de diferentes fuentes como datos de consumo y de conducta de agencias de datos, datos financieros de agencias de créditos y datos obtenidos en la captación de votos (canvassing data). En muchas ocasiones, se gestionan los ficheros de votantes con plataformas propietarias especializadas en tecnología de campañas políticas.
Hong Kong: en marzo de 2017, dos computadoras pertenecientes a la Oficina de Registro y Oficina Electoral fueron robadas durante la Expo AsiaWorld. Estos dispositivos contenían información de 3.78 millones de personas votantes registradas en Hong Kong, 'incluyendo sus nombres, direcciones, cédulas de identificación, números de celulares y circunscripciones electorales', además de los nombres de 1,194 electores del Comité Electo de Hong Kong. Aunque afirmaron que los datos estaban cifrados, el equipo detective de investigación anunció que no se excluía la posibilidad de que el incidente se hubiera originado "desde adentro".
Filipinas: en 2016, el sitio web de la Comisión Electoral de Filipinas fue atacada. Se trata de 'uno de los casos más grandes de brecha de datos relacionados con el gobierno'. Como parte del ataque, lanzaron un sitio web que decía contener una base de datos completa de 340gb con los datos de 55 millones de votantes registradas. Otros informes pronosticaron 70 millones de personas afectadas. Los datos comprometidos incluían nombre, fecha de nacimiento, direcciones postales y de correo electrónico, nombres de familiares y, en algunos casos, datos de pasaportes y huellas dactilares. Anonymous Philipinnes y LulzSec Philipinnes dicen haber sido responsables de este ataque.
Líbano: en abril de 2018, se reportó que las embajadas del Líbano pusieron a disposición pública los datos personales de la ciudadanía libanesa viviendo en el extranjero. La embajada del Líbano en Emiratos Árabes Unidos envió un correo a las personas libanesas viviendo en dicho país con una hoja de cálculo adjunta conteniendo los datos personales de más de 5,000 personas libanesas registradas para votar en las próximas elecciones, pidiendo que confirmaran sus datos. La embajada libanesa en La Haya envió un correo parecido a más de 200 personas también incluyendo una hoja de cálculo adjunta con datos personales. Es más, la persona que envió el correo incluyó a todos los contactos en copia visible (Cc) en vez de copia oculta (Bcc). En ambos casos, la información personal contenía nombres completos, nombres de familiares, orientación de género, fecha de nacimiento, religión, estado civil y direcciones.
México: en 2016, especialista en seguridad Chris Vickery encontró el padrón electoral mexicano, el cual contenía registros personales de 87 millones de votantes de México, en una base de datos alojada en Amazon Web Services con escasas medidas de seguridad. La filtración incluía nombres, direcciones, fechas de nacimiento y cédulas nacionales. Fue realizada con herramientas informáticas básicas. Tras una investigación interna, el Instituto Nacional Electoral impuso una multa al partido político Movimiento Ciudadano de 1.8 millones de dólares americanos en concepto de negligencia a implementar las medidas de seguridad pertinentes a su copia de datos.
Estados Unidos: en 2017, un equipo de investigación en ciberseguridad de UpGuard identificó una base de datos configurada in-apropiadamente, conteniendo datos personales de 198 millones de votantes de EEUU. Los datos filtrados incluían nombres completos, fechas de nacimiento, direcciones de correo y postales, números de teléfono, afiliación a partidos, estadísticas demográficas y raciales, estatus de registro de votante y, hasta si habían solicitado no ser contactadas por fines de campaña política (lista “No me llames”). También incluía información que usaban para crear supuestos sobre la religión e identidad étnica de potenciales votantes , además de datos de las empresas de campaña política Deep Root Analytics ,TargetPoint Consulting, Inc. y Data Trust—todas contratadas por el Comité Nacional Republicano. Esta base de datos de 1.1 terabytes con escasas implementaciones de seguridad estaba accesible desde un servidor en Amazon. En consecuencia, la filtración expuso los datos de casi 200 millones de votantes registradas en Estados Unidos.
Turquía: en 2016, una persona hacker anónima publicó un archivo descargable de 6.6gb llamado 'Base de Datos de la Ciudadanía Turca', aparentemente conteniendo los datos personales de aprox. 50 millones de personas ciudadanas, incluyendo sus nombres, direcciones, nombres de familiares, lugares y fechas de nacimiento, y cédulas nacionales. Aunque los datos afectados parecen ser del 2008, su impacto negativo perdura. El turco Isik Mater, activista en privacidad, anunció en Wired: 'Busqué mi nombre en la lista y encontré datos de mis familiares. ... No importa que los datos sean de 2008 porque sigo teniendo el mismo nombre, apellido, dirección, evidentemente la misma cédula, lo cual significa que, los datos filtrados están "actualizados" para mi y para muchas otras personas. Esta filtración es muy muy grave.
Estados Unidos: en octubre de 2018, dos empresas de investigación y consultoría en ciberdelitos reportaron que los datos de 35 millones de personas votantes registradas fueron puestos a la venta en un forum conocido de hackers en la Deep Web. El "huevo dorado" contenía datos actualizados de votantes del 2018 de al menos 19 Estados. El equipo de investigación afirmó que las personas integrantes de este foro se organizaron para recaudar fondos para adquirir la base de datos. Además, diagnosticaron que, debido a la naturaleza de los datos disponibles, el proveedor ilícito 'podría tener acceso persistente y/o contacto con oficiales de gobierno de cada Estado'. Aunque los ficheros de votantes de estos Estados se consideran "públicos" y disponibles a la venta, la mayoría de los Estados limitan su acceso únicamente a entidades autorizadas, como campañas políticas o fines de investigación e impiden su re-publicación/distribución.
Las brechas, filtraciones y hackeos de datos sobre votantes suelen recibir menos atención mediática que las campañas de des/mal-información llevada a cabo por el Estado, los partidos políticos o hasta las elecciones más a pequeña escala. Generalmente, la cobertura que hay se difunde en blogs de especialistas, portales de investigación de ciberseguridad o en sitios web especializados, por lo cual es difícil que personas no especialistas sepan cuándo y dónde ocurren estas vulneraciones de datos, menos aún qué personas son afectadas. Sin embargo, es más probable que incidentes graves, como la filtración en 2017 de datos acerca de casi 200 millones de votantes de EEUU, salgan a la luz.
Consideraciones
↘ Aún no se reconoce públicamente que los datos sobre votantes filtrados, hackeados o vulnerados también llegan a ser una fuente de datos para las campañas políticas. La naturaleza de cómo estos datos son adquiridos en estos ejemplos implica que existe poco conocimiento sobre qué papel tienen estas filtraciones, hackeos y brecha de datos en los procesos electorales. Lo que sí sabemos es que existe cobertura mediática sobre casos de hackeo con motivaciones políticas como el de Andrés Sepúlveda en Latinoamérica. También sobre casos donde datos sobre votantes fueron comprometidos para alterar procesos electorales.
↘ Tanto el alcance y la profundidad, como los contextos geográficos de estas brechas, filtraciones y hackeos varían en cada situación, por lo que es difícil generar un juicio fijo sobre todas sus consecuencias. Mientras que en algunos casos se afirma que los datos comprometidos estaban desactualizados y que "tenían menos valor", en otros casos, los datos vulnerados implicaron impactos graves. Por ejemplo, en octubre de 2018, una persona abocada a la investigación en seguridad pudo acceder a un dispositivo de almacenamiento de Rice Consulting, una empresa estadounidense dedicada a la recaudación de fondos que fue contratada por el Partido Demócrata. Este dispositivo no contaba con medidas de seguridad y estaba conectado a internet. Almacenaba datos personales como números telefónicos, nombres, correos, direcciones, contratos, actas y anotaciones, respaldos de datos y datos sobre quienes trabajaban en la empresa. Además, contenía datos de acceso a NGP, el gestor que administra la base de datos de votantes utilizada por el Partido Demócrata.
↘ En última instancia, el valor de los datos sobre votantes es significativo, especialmente si se exponen abiertamente en internet. Generalmente, hay una falta de perspectiva de cómo estos datos son almacenados, asegurados y gestionados. Las campañas políticas, el sector de consultoría de datos y los proveedores de servicios tienen la obligación de manejar los datos con cuidado y consideración. Los cambios en las leyes de protección de datos en la Unión Europea implican que una entidad que maneja datos es responsable, no sólo por la filtración o vulneración de dichos datos, sino de informar, de manera ágil, cualquier incidente al respecto. Según una encuesta de la industria de campaña política, existen personas expertas en ciberseguridad que siguen señalando que 'la mayoría adentro de la industria no toman suficientemente en serio la amenaza [de interferencia digital en las elecciones] y que la deficiencia de las prácticas de seguridad en el sector de consultoría en datos supone un punto de vulnerabilidad, un "talón de Aquiles", en la seguridad de los datos acerca de votantes y la integridad de los procesos electorales.