Una copia del padrón del Instituto Nacional Electoral (INE), con información personal de 93.4 millones de votantes, fue encontrado en un servidor en la nube de Amazon por el investigador Chris Vickery el día 14 de abril. De acuerdo al analista informático, la base de datos “es la prueba de que alguien movió información confidencial de México a Estados Unidos (…) estamos hablando de nombres, direcciones postales, fechas de nacimiento, números de identificación, entre otros.”
La base de datos, que fue retirada de línea el día 22 de abril, era accesible sin necesidad de contraseñas. Vickery contactó con varias autoridades, siendo finalmente el INE la que respondió a su solicitud. El viernes 22 –fecha en que la brecha de seguridad se hizo pública–, el instituto denunció la publicación ilegal del padrón electoral ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), contra “quien resulte responsable”.
Resulta muy preocupante que, de acuerdo con el INE, no existan “indicios de vulneración a los sistemas de seguridad, ni de intromisiones externas a la base de datos”. Aunque esta aclaración debería dar certidumbre sobre las medidas de seguridad informática del instituto, en su lugar, eleva los cuestionamientos sobre la forma en que la base de datos fue obtenida y cómo llegó al servidor de Amazon.
Este incidente se da en un contexto en que el Senado discute la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y en el que la Suprema Corte de Justicia de la Nación tiene pendiente la decisión del amparo de R3D sobre la inconstitucionalidad de los artículos 189 y 190 de la Ley Federal de Telecomunicaciones y Radiodifusión. Esta última obliga a las compañías a mantener un registro masivo e indiscriminado de los metadatos de las comunicaciones de todas las personas usuarios de los servicios de telecomunicaciones hasta por dos años.
La filtración de la base de datos del INE renueva las dudas sobre la posibilidad de que las autoridades, frecuentemente en colusión con los grupos delictivos, hagan mal uso de la información recabada por el Estado. La negación del INE acerca de un ataque externo sugiere que la base de datos pudo ser extraída por individuos o grupos con acceso interno.
Mientras tanto, la información de más de 93 millones de mexicanos y mexicanas ha sido expuesta, sin tener certeza de quién ha accedido a estos datos o con qué fines. Para conocer más detalles sobre el caso, sugerimos la lectura de este texto de Chris Vickery sobre la filtración y este artículo de Dell Cameron sobre cómo se solicitó el retiro de los datos a Amazon.