El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) alertó por el posible robo de información de declaraciones patrimoniales de funcionarios que sufrió la Secretaría de la Función Pública (SFP), entre mayo y junio de 2020.

De acuerdo con El Economista, en la resolución INAI.3S.07.005/2020, el INAI encontró que el grupo de atacantes pudo copiar los datos personales de los servidores públicos. Entre los datos vulnerados se encuentran: escolaridad, experiencia laboral, ingresos, bienes inmuebles, vehículos, inversiones, adeudos, préstamos o comodatos, participación, representación y fideicomisos.

La resolución contradice la versión de la SFP, que aseguró en una nota de prensa que el incidente se podía considerar como “una forma alternativa de acceso a datos públicos”.

Además, la Secretaría explicó que el grupo de atacantes detectó una vulnerabilidad en la configuración de una base de datos que permitió “un ataque técnico en el que se accedió a los índices de la base de datos, pudiéndose haberse realizado una copia de la información y se introdujo un aviso de extorsión”.

Una investigación de El Economista reveló que la base de datos (con información de más de 830 mil funcionarios) estuvo disponible en Internet, sin medidas de seguridad básicas, como una contraseña, más de un mes, entre el 6 de mayo y el 30 de junio de 2020. Por su parte, el analista de seguridad informática Bob Diachenko consideró que el incidente se produjo por “una mala configuración de seguridad”.

De acuerdo con los registros de acceso a la base de datos, personas que accedieron a esta base exigieron un rescate, so pena de divulgar la información obtenida. “Como medida de prevención, la vía alternativa de acceso fue inmediatamente bloqueada y las medidas de seguridad fueron reforzadas”, aseguró la secretaría.

Tras una investigación el pleno del Instituto determinó que la SFP falló en sus deberes de confidencialidad, seguridad y en los principios legales de consentimiento, responsabilidad información, licitud y lealtad; asimismo, encontró que personal de la Secretaría es responsable de varias conductas descritas en el artículo 163 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Este tipo de incidentes muestran los riesgos que conlleva el resguardo de bases de datos sin las debidas medidas de seguridad y protección. Estos peligros se ven exacerbados ante la creación de bases de datos masivas centralizadas ─como la propuesta por el Padrón de Usuarios de Telefonía Móvil─ que generan objetivos muy atractivos para esta clase de ataques informáticos.


Imagen del Gobierno de México