Así hackearon los datos de más de un millón de empleados federales en DeclaraNet

Al momento de generar la nueva base de datos para alimentar al OMEXT, un acceso quedó abierto al público y un intruso logró entrar para robarse la base de datos.

Hackean datos de funcionarios de gobierno en DeclaraNet. (Pixabay)
Rafael Montes
Ciudad de México /

Los datos personales de 1.6 millones de servidores públicos federales, que estaban bajo resguardo de la Secretaría de la Función Pública (SFP), fueron robados y expuestos en internet entre mayo y junio de 2020 porque la dependencia no tomó las medidas de seguridad adecuadas cuando, indebidamente, quiso utilizar esa información para crear una nueva base de datos.

Esos datos formaban parte de los sistemas DeclaraNet y del sistema del Registro Único de Servidores Públicos (RUSP).

Con la información de esos sistemas, la SFP construyó el Sistema de Omisos y Extemporáneos (OMEXT), una nueva herramienta -aún en fase de prueba- que concentrará los datos de los empleados públicos que incumplan con su obligación de presentar su declaración patrimonial durante el mes de mayo de cada año.

Sin embargo, al momento de generar la nueva base de datos para alimentar al OMEXT, un acceso quedó abierto al público y un intruso logró entrar para robarse la base de datos e intentar una extorsión a cambio de ellos con mensajes como “Tienes 7 días para contactarnos” y “Contáctanos o tu información será divulgada”.

Gregorio González Nava, titular de la Dirección General de Transparencia y Gobierno Abierto de la SFP, explicó que “un agente externo, utilizando software especializado, detectó una IP pública (200.33.31.87) que respondía a peticiones del protocolo HTTP. Posteriormente utilizó conocimiento especializado acerca de la base de datos Elasticsearch para acceder a su contenido”.

También argumentó que el acceso a dicha base de datos está restringido para que sólo la puedan usar los administradores y encargados del desarrollo del sistema.

Esta explicación forma parte de la respuesta que la SFP dio al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) durante los dos procedimientos que la Dirección General de Evaluación, Investigación y Verificación del Sector Público del instituto realizó al respecto, a finales de septiembre de 2020.

Un procedimiento fue iniciado de oficio por el aviso que dio la SFP del incidente y otro, en respuesta a una denuncia presentada por uno de los servidores públicos afectados.

La dependencia encabezada por Irma Eréndira Sandoval reconoció ante el INAI que, al momento del robo de información, no contaba con un plan de trabajo en materia de protección de datos personales.

A la fecha, no se sabe si algún funcionario de la SFP fue sancionado por las irregularidades cometidas.

La denuncia pública de este caso fue hecha en julio de 2020 en el periódico El Economista, el cual dio a conocer que un analista de seguridad, Bob Diachenko, fue quien encontró la base de datos de los empleados federales en el motor de búsqueda Shodan, por lo que el 30 de junio de 2020 dio aviso a la SFP.

Uso indebido de base de datos

Entre sus conclusiones, el INAI advirtió que la SFP no debió usar las bases de datos existentes en DeclaraNet para crear una nueva.

“Al someter los datos personales del denunciante a un tratamiento diverso, que incluía la migración de la totalidad de sus datos personales a un sistema distinto, inclusive en su etapa experimental, incumplió con el principio de lealtad”, señaló.

Además, la dependencia “mantuvo una inadecuada configuración de la base de datos y no estableció las medidas de seguridad administrativas, físicas y técnicas para resguardar dicha base”.

Con ello, la SFP violentó los deberes de confidencialidad y seguridad, así como a los principios de responsabilidad, información, consentimiento, licitud y lealtad que la dependencia debe cumplir al poseer, usar y resguardar datos personales de servidores públicos, determinó el INAI.

Los datos robados

De acuerdo con la investigación realizada por el INAI, además del nombre completo, el RFC, la CURP y el sexo, otros datos que fueron vulnerados fueron los de los bienes inmuebles de los declarantes (tipo de operación, valor, porcentaje de propiedad, superficie del terreno, superficie construida), de los vehículos (valor, tipo de operación, marca, modelo, año), de los bienes muebles (valor, tipo de bien, tipo de operación) de las inversiones (valor, tipo de operación) de los adeudos (valor, tipo de operación, tipo de adeudo, fecha de adquisición, monto original, otorgante del crédito), entre otros.

Para el instituto, el incidente representó “una afectación significativa a derechos patrimoniales de los titulares”.

Dictaminó que con la vulneración ocurrida se tuvo acceso y se pudo haber realizado la copia no autorizada de datos personales que permiten perfilar la situación económica de los titulares.

Ante el INAI, González Nava quiso minimizar la vulneración, al afirmar que “los únicos datos personales vulnerados son el RFC, CURP y sexo”.

Aseguró que con los nuevos formatos de declaraciones patrimoniales, que buscan dar mayor publicidad al patrimonio de los servidores públicos, el resto de información “que pudiera ser clasificada, se convierte en información pública”.

Ante esos alegatos, el INAI consideró que “el hecho de que algunos datos contenidos en las declaraciones patrimoniales y de intereses de los servidores públicos se hagan del conocimiento de la sociedad por un tema de interés público, no interfiere con su naturaleza de dato personal, ni con el deber de confidencialidad”.

Y agregó: “máxime que en la base de datos objeto de la vulneración de seguridad obraban datos personales del titular denunciante que no obran en ninguna fuente acceso público, sólo en los registros bajo resguardo de la propia dependencia”.

Ahogado el niño…

El director general de Transparencia y Gobierno Abierto de la SFP explicó que una vez que detectaron el acceso ilegal a la base de datos, se procedió a sustituir el motor Elasticserch, ya vulnerado, por uno nuevo, MONGO, “el cual tiene la ventaja de no requerir salida a internet para realizar actualizaciones y la administración del control de acceso es basado en roles, por lo que el acceso es mucho más controlado”.

Además, se identificaron las direcciones IP internas y externas correspondientes a las máquinas virtuales que integran el clúster de la base de datos Elasticsearch, se realizó una validación de las direcciones IP externas por el protocolo de HTTP y HTTPS, con lo que se determinó que el acceso se realizó por medio del protocolo HTTPS.

“Una vez identificado el método de acceso, se procedió a actualizar las reglas del firewall del centro de datos de alta disponibilidad para denegar completamente el acceso a la misma”, añadió.

Ante los señalamientos del INAI de que no se acreditó que la SFP tuviera medidas de seguridad como análisis de riesgos o constancias de monitoreos, González Nava reconoció que fue hasta el 29 de septiembre de 2020, cuatro días después de que el INAI comenzó su procedimiento de investigación, cuando el Comité de Transparencia de la SFP aprobó el Plan de trabajo en materia de protección de datos personales para cumplir con los principios, deberes y obligaciones establecidos en la ley.

Dicho plan incluyó una campaña de cultura de protección de datos personales, revisión de los avisos de privacidad simplificados e integral, un programa de protección de datos personales y un documento de seguridad.

Sin embargo, cuando el INAI solicitó los documentos de ese plan de trabajo, la SFP respondió que estarían listos hasta marzo de 2021.

¿Impunidad en SFP?

Como parte de su resolución, el instituto dio vista al Órgano Interno de Control de la SFP para que procediera a la aplicación de sanciones, lo que significa que la SFP debería castigarse a sí misma.

Sin embargo, a la fecha, la secretaría no ha informado públicamente si ya sancionó a alguien por el error cometido.

Por el contrario, a unos días de que la autoridad comenzara la investigación por el hackeo, uno de los funcionarios responsables de la seguridad informática al interior de la SFP fue acomodado en un cargo superior, pero ahora en la Secretaría de Relaciones Exteriores (SRE).

Se trata de Luis Gutiérrez Reyes, quien desde el inicio del actual sexenio fue nombrado Director General de Tecnologías de Información de la SFP, área encargada del “establecimiento de las políticas y lineamientos que, en materia de Tecnologías de Información y Comunicaciones y de seguridad informática, deberán observar las Unidades Administrativas de la Secretaría”, así como “definir, coordinar y supervisar los mecanismos de seguridad de los sistemas electrónicos institucionales”.

Sin embargo, en junio de 2020 -precisamente en los días en que la base de datos ya había sido hackeada y estaba siendo exhibida en internet- fue ascendido para ser subsecretario de Combate a la Impunidad.

Pero pocos meses después, en el mes de octubre, cuando el INAI llevaba unos días de haber iniciado la investigación por la vulneración de la base de datos, el funcionario, quien desde antes del 2018 no había trabajado en el sector público, salió de la SFP y fue nombrado director del Instituto de Mexicanos en el Exterior, dependencia a cargo de la cancillería.

Aunque por sus responsabilidades como Director General de Tecnologías de Información, Gutiérrez Reyes debió haber atendido los requerimientos técnicos de la investigación del INAI, la SFP decidió encargar el asunto al Director General de Transparencia y Gobierno Abierto, Gregorio Nava.

Entre las facultades de este cargo no están incluidos los temas técnicos, sino más bien de diseño de políticas públicas, como los lineamientos generales que debe emitir la Secretaría para asegurar el cumplimiento de las políticas en materia de transparencia en la gestión pública, acceso a la información pública, rendición de cuentas, gobierno abierto y datos abiertos.

icc

LAS MÁS VISTAS