Brechas, Filtraciones y Hackeos: La vulnerabilidad de los datos sobre votantes

¿Qué son las brechas, filtraciones y hackeos?

Hoy en día, los datos sobre votantes están igualmente sujetos a ataques maliciosos como los datos de, por ejemplo, tarjetas de crédito y débito. Sobre todo cuando la infraestructura donde están alojados carece de implementaciones de seguridad adecuadas. De hecho, este problema ya tiene un alcance global. Aunque existe una amplia cobertura mediática internacional en torno al hackeo y brecha de datos en elecciones políticas, cómo han sido filtrados a través de correos, cómo el Estado ha participado en campañas de desinformación o qué tan insegura puede ser la infraestructura (por ejemplo, vulnerabilidades en el software utilizado en las cabinas electorales), cabe mencionar que los datos sobre votantes también están en riesgo. Pueden estar expuestos a ataques maliciosos, filtraciones accidentales, configuraciones de seguridad deficientes o robos de equipos electrónicos. Independientemente de cómo se exponen, estos datos comprometidos generalmente incluyen datos sensibles e información que puede identificar a personas. Por mucho que los datos acerca de votantes puedan ser un recurso político, también son una responsabilidad.

Según un reporte del "Center for Strategic and International Studies" y McAfee, más de tres billones de credenciales de acceso a cuentas de internet y otros tipos de datos personales han sido robados por hackers. En dos de cada tres casos, las personas afectadas ni saben que sus datos han sido comprometidos. Entre los casos con más repercusión mediática está la brecha de datos de la agencia de reporte de créditos Equifax donde se expusieron datos financieros personales de 143 millones de personas consumidoras de Estados Unidos; el hackeo de los registros de más de 1 billón de usuarias de Yahoo; y la 'brecha de datos de una empresa líder en Sudáfrica que supuso la pérdida de información de identificación personal de un estimado de 31 millones de personas, incluyendo al presidente, al ministro de Finanzas y al ministro de la Policía. Estos datos contenían información sobre ingresos económicos, direcciones y números de teléfono.

¿Qué tipo de datos están implicados?

Cuando se comprometen datos sobre votantes, generalmente implican dos posibles fuentes:

↘ Registros oficiales de votantes: aunque varía de país en país, la mayoría de los registros de votantes consisten en una combinación de datos como nombre, fecha de nacimiento y lugar actual de residencia, proporcionadas por la propia persona o automáticamente actualizado por entidades estatales o gubernamentales. Según la estructura y organización a nivel nacional, los registros oficiales pueden ser administrados a nivel estatal o local. En los Estados Unidos, según el Estado, dicha información es almacenada en hojas de cálculo digitales y puede ser enviada por correo electrónico a quienes compran/adquieren estos ficheros de votantes. Los registros de votantes pueden estar centralizados en registros a nivel nacional, como es el caso de Reino Unido donde dichos datos pueden ser adquiridos en diferentes formatos de hoja de cálculo además de formato impreso.

↘ Ficheros de votantes: creados internamente por partidos políticos o por consultores en datos políticos para fines de campaña política. Estos ficheros suelen estar compuestos por detalles básicos de contacto, generalmente obtenidos por registros públicos o de gobierno, como los censos y datos de registro de votantes y, en muchos casos, complementado con datos de terceros provenientes de diferentes fuentes como datos de consumo y de conducta de agencias de datos, datos financieros de agencias de créditos y datos obtenidos en la captación de votos (canvassing data). En muchas ocasiones, se gestionan los ficheros de votantes con plataformas propietarias especializadas en tecnología de campañas políticas.

4_upguard_voterprojections

Captura de pantalla: exposición de datos de Deep Root Analytics RNC, descubierta por analista en riesgos cibernéticos Chris Vickery de UpGuard. Esta captura muestra números de identificación RNC y un modelo de datos que evalúa la probabilidad de que una persona apoye determinada política o no.
Fuente: Dan O’Sullivan. “The RNC Files: Inside the Largest US Voter Data Leak.” UpGuard, accessed 4 September 2018

Algunos ejemplos

Brecha de datos

Hong Kong: en marzo de 2017, dos computadoras pertenecientes a la Oficina de Registro y Oficina Electoral fueron robadas durante la Expo AsiaWorld. Estos dispositivos contenían información de 3.78 millones de personas votantes registradas en Hong Kong, 'incluyendo sus nombres, direcciones, cédulas de identificación, números de celulares y circunscripciones electorales', además de los nombres de 1,194 electores del Comité Electo de Hong Kong. Aunque afirmaron que los datos estaban cifrados, el equipo detective de investigación anunció que no se excluía la posibilidad de que el incidente se hubiera originado "desde adentro".

Filipinas: en 2016, el sitio web de la Comisión Electoral de Filipinas fue atacada. Se trata de 'uno de los casos más grandes de brecha de datos relacionados con el gobierno'. Como parte del ataque, lanzaron un sitio web que decía contener una base de datos completa de 340gb con los datos de 55 millones de votantes registradas. Otros informes pronosticaron 70 millones de personas afectadas. Los datos comprometidos incluían nombre, fecha de nacimiento, direcciones postales y de correo electrónico, nombres de familiares y, en algunos casos, datos de pasaportes y huellas dactilares. Anonymous Philipinnes y LulzSec Philipinnes dicen haber sido responsables de este ataque.

1_anonymous_phil

En 2016, Anonymous Filipinas atacó al sitio web de la Comisión Electoral de Filipinas: escracharon la plataforma y filtraron datos sobre votantes.
Fuente: http://www.comelec.gov.ph, 27 March 2016.

Filtraciones

Líbano: en abril de 2018, se reportó que las embajadas del Líbano pusieron a disposición pública los datos personales de la ciudadanía libanesa viviendo en el extranjero. La embajada del Líbano en Emiratos Árabes Unidos envió un correo a las personas libanesas viviendo en dicho país con una hoja de cálculo adjunta conteniendo los datos personales de más de 5,000 personas libanesas registradas para votar en las próximas elecciones, pidiendo que confirmaran sus datos. La embajada libanesa en La Haya envió un correo parecido a más de 200 personas también incluyendo una hoja de cálculo adjunta con datos personales. Es más, la persona que envió el correo incluyó a todos los contactos en copia visible (Cc) en vez de copia oculta (Bcc). En ambos casos, la información personal contenía nombres completos, nombres de familiares, orientación de género, fecha de nacimiento, religión, estado civil y direcciones.

2_lebanon_email

SMEX obtuvo esta captura de pantalla de un correo enviado por la embajada del Líbano que contenía una hoja de cálculo con datos de votantes.
Fuente: "Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad.” SMEX: Channeling Advocacy, 6 April, 2018.

México: en 2016, especialista en seguridad Chris Vickery encontró el padrón electoral mexicano, el cual contenía registros personales de 87 millones de votantes de México, en una base de datos alojada en Amazon Web Services con escasas medidas de seguridad. La filtración incluía nombres, direcciones, fechas de nacimiento y cédulas nacionales. Fue realizada con herramientas informáticas básicas. Tras una investigación interna, el Instituto Nacional Electoral impuso una multa al partido político Movimiento Ciudadano de 1.8 millones de dólares americanos en concepto de negligencia a implementar las medidas de seguridad pertinentes a su copia de datos.

3_mexico_pngvoter

Captura de pantalla de un registro de votantes de México. Forma parte de los datos vulnerados en un caso paradigmático de brecha de datos. Esta información fue brindada por Chris Vickery, investigador en seguridad de MacKeeper y utilizado en un reportaje del medio The Daily Dot.
Fuente: Dell Cameron. “Private Records of 93.4 Million Mexican Voters Exposed in Data Breach.” The Daily Dot, 22 April 2016.

Estados Unidos: en 2017, un equipo de investigación en ciberseguridad de UpGuard identificó una base de datos configurada in-apropiadamente, conteniendo datos personales de 198 millones de votantes de EEUU. Los datos filtrados incluían nombres completos, fechas de nacimiento, direcciones de correo y postales, números de teléfono, afiliación a partidos, estadísticas demográficas y raciales, estatus de registro de votante y, hasta si habían solicitado no ser contactadas por fines de campaña política (lista “No me llames”). También incluía información que usaban para crear supuestos sobre la religión e identidad étnica de potenciales votantes , además de datos de las empresas de campaña política Deep Root Analytics ,TargetPoint Consulting, Inc. y Data Trust—todas contratadas por el Comité Nacional Republicano. Esta base de datos de 1.1 terabytes con escasas implementaciones de seguridad estaba accesible desde un servidor en Amazon. En consecuencia, la filtración expuso los datos de casi 200 millones de votantes registradas en Estados Unidos.

Hackeos

Turquía: en 2016, una persona hacker anónima publicó un archivo descargable de 6.6gb llamado 'Base de Datos de la Ciudadanía Turca', aparentemente conteniendo los datos personales de aprox. 50 millones de personas ciudadanas, incluyendo sus nombres, direcciones, nombres de familiares, lugares y fechas de nacimiento, y cédulas nacionales. Aunque los datos afectados parecen ser del 2008, su impacto negativo perdura. El turco Isik Mater, activista en privacidad, anunció en Wired: 'Busqué mi nombre en la lista y encontré datos de mis familiares. ... No importa que los datos sean de 2008 porque sigo teniendo el mismo nombre, apellido, dirección, evidentemente la misma cédula, lo cual significa que, los datos filtrados están "actualizados" para mi y para muchas otras personas. Esta filtración es muy muy grave.

Estados Unidos: en octubre de 2018, dos empresas de investigación y consultoría en ciberdelitos reportaron que los datos de 35 millones de personas votantes registradas fueron puestos a la venta en un forum conocido de hackers en la Deep Web. El "huevo dorado" contenía datos actualizados de votantes del 2018 de al menos 19 Estados. El equipo de investigación afirmó que las personas integrantes de este foro se organizaron para recaudar fondos para adquirir la base de datos. Además, diagnosticaron que, debido a la naturaleza de los datos disponibles, el proveedor ilícito 'podría tener acceso persistente y/o contacto con oficiales de gobierno de cada Estado'. Aunque los ficheros de votantes de estos Estados se consideran "públicos" y disponibles a la venta, la mayoría de los Estados limitan su acceso únicamente a entidades autorizadas, como campañas políticas o fines de investigación e impiden su re-publicación/distribución.

5_19-us-state-voter-list

En un artículo de Anomali Labs e Intel471, se revela que se habían obtenido ilegalmente listas de votantes de 19 Estados de EEUU que fueron posteriormente publicados en foros de hackers en la ‘Deep Web’.
Fuente: Anomali Labs. “Estimated 35 Million Voter Records For Sale on Popular Hacking Forum.” Anomali, accessed 7 March 2019.

¿Cómo sé si me está afectando?

Las brechas, filtraciones y hackeos de datos sobre votantes suelen recibir menos atención mediática que las campañas de des/mal-información llevada a cabo por el Estado, los partidos políticos o hasta las elecciones más a pequeña escala. Generalmente, la cobertura que hay se difunde en blogs de especialistas, portales de investigación de ciberseguridad o en sitios web especializados, por lo cual es difícil que personas no especialistas sepan cuándo y dónde ocurren estas vulneraciones de datos, menos aún qué personas son afectadas. Sin embargo, es más probable que incidentes graves, como la filtración en 2017 de datos acerca de casi 200 millones de votantes de EEUU, salgan a la luz.

Consideraciones

↘ Aún no se reconoce públicamente que los datos sobre votantes filtrados, hackeados o vulnerados también llegan a ser una fuente de datos para las campañas políticas. La naturaleza de cómo estos datos son adquiridos en estos ejemplos implica que existe poco conocimiento sobre qué papel tienen estas filtraciones, hackeos y brecha de datos en los procesos electorales. Lo que sí sabemos es que existe cobertura mediática sobre casos de hackeo con motivaciones políticas como el de Andrés Sepúlveda en Latinoamérica. También sobre casos donde datos sobre votantes fueron comprometidos para alterar procesos electorales.

↘ Tanto el alcance y la profundidad, como los contextos geográficos de estas brechas, filtraciones y hackeos varían en cada situación, por lo que es difícil generar un juicio fijo sobre todas sus consecuencias. Mientras que en algunos casos se afirma que los datos comprometidos estaban desactualizados y que "tenían menos valor", en otros casos, los datos vulnerados implicaron impactos graves. Por ejemplo, en octubre de 2018, una persona abocada a la investigación en seguridad pudo acceder a un dispositivo de almacenamiento de Rice Consulting, una empresa estadounidense dedicada a la recaudación de fondos que fue contratada por el Partido Demócrata. Este dispositivo no contaba con medidas de seguridad y estaba conectado a internet. Almacenaba datos personales como números telefónicos, nombres, correos, direcciones, contratos, actas y anotaciones, respaldos de datos y datos sobre quienes trabajaban en la empresa. Además, contenía datos de acceso a NGP, el gestor que administra la base de datos de votantes utilizada por el Partido Demócrata.

6-data-breach-rice-ngp

Captura de pantalla: hoja de cálculo con credenciales de acceso a NGP (gestor que administra la base de datos de votantes utilizada por el Partido Demócrata). Este documento forma parte de los datos comprometidos en un ataque hacia la consultora Rice Consulting. Fueron encontrados por la empresa de investigación en ciberseguridad Hacken utilizando un buscador de 'Internet of Things' (Internet de las Cosas).
Fuente: Diachenko, Bob. “More than Just a Data Breach: A Democratic Fundraising Firm Exposure.” Hacken Blog, accessed 6 March 2019.

↘ En última instancia, el valor de los datos sobre votantes es significativo, especialmente si se exponen abiertamente en internet. Generalmente, hay una falta de perspectiva de cómo estos datos son almacenados, asegurados y gestionados. Las campañas políticas, el sector de consultoría de datos y los proveedores de servicios tienen la obligación de manejar los datos con cuidado y consideración. Los cambios en las leyes de protección de datos en la Unión Europea implican que una entidad que maneja datos es responsable, no sólo por la filtración o vulneración de dichos datos, sino de informar, de manera ágil, cualquier incidente al respecto. Según una encuesta de la industria de campaña política, existen personas expertas en ciberseguridad que siguen señalando que 'la mayoría adentro de la industria no toman suficientemente en serio la amenaza [de interferencia digital en las elecciones] y que la deficiencia de las prácticas de seguridad en el sector de consultoría en datos supone un punto de vulnerabilidad, un "talón de Aquiles", en la seguridad de los datos acerca de votantes y la integridad de los procesos electorales.