San Luis de la Paz, Guanajuato.- Una base de datos con información de ciudadanos del municipio de San Luis de la Paz, Guanajuato, fue filtrada este fin de semana por hackers no identificados.
Se trata de una tabla con unos 96 mil registros, que incluyen: clave del INE, nombre completo, domicilio completo, fecha de nacimiento, teléfonos, localidad, municipio, datos de familiares inmediatos, CURP, entre otros datos confidenciales.
Así lo dio a conocer Víctor Ruiz, especialista en ciberseguridad y fundador de SILIKN (se pronuncia Sílicon), una consultora con sede en la ciudad de Querétaro, que monitorea con frecuencia foros tradicionales de internet y otros clandestinos, en la “deep web”.
(Lo hacemos) para alertar a los ciudadanos o empresas u organizaciones, cuyos datos se hayan filtrado, para que puedan tomar medidas preventivas. Hemos estado localizando diferentes bases de datos, algunas expuestas de manera gratuita, otras tienen un costo y otras que los atacantes las publicaron ahí para obtener algún beneficio económico.
“En el caso de la de San Luis de la Paz la encontramos de manera libre, eso es lo peligroso, que cualquiera la pueda descargar y contiene información sensible de la gente de ese municipio. Información que podría ser utilizada para diferentes fines, como esos ataques ahora tan de moda, de phishing, con correos electrónicos falsos para engañar a la gente y den más datos personales, como bancarios, financieros o de otro tipo”.
Víctor Ruiz dijo que aunque no se puede identificar de qué tipo de programa o área procede esta base de datos y no es el único caso reciente -hay otros municipios y alcaldías del país afectados-, preocupa que los gobiernos a todos los niveles no le den la importancia debida al resguardo y seguridad de esta información.
Gobiernos despreocupados
Además de para fraudes -en estos días, con la entrega de falsos paquetes que requieren un previo depósito de dinero-, puede ser utilizada para fines criminales, como extorsiones, robos de identidad digital o secuestro de información.
Esto se ha incrementado debido a que ya está por terminar este sexenio y ya han bajado mucho la guardia para la contratación de equipos de seguridad. Ya hemos visto que no se ha invertido en tecnología ni en seguridad de esa tecnología, se están dejando los sistemas abiertos. Esto nos hace especular que quizá los gobiernos se lo están dejando al siguiente o inclusive, si se llega a perder información, decir ‘nos hackearon, no tenemos la culpa’”.
Al no cumplir con las normas, evaden su responsabilidad sobre la información que ellos mismos recolectaron, recayendo la obligación, de inicio en la dirección o departamento de sistemas y de ahí seguiría la jerarquía hasta el o la alcaldesa.
Aunque reconoció que las dependencias afectadas no suelen reconocer siquiera la vulneración, “el crimen organizado sí está utilizando estas bases de datos para hacer daño, los criminales sí se están preparando, estudiando continuamente cómo vulnerar, yendo un paso adelante. Y ellos sí colaboran eficientemente entre sí: no tienen burocracia -que retrasa la entrega de recursos para medidas correctivas-, y pasan por encima de la filiación -social, gubernamental o de los partidos políticos-”.
El especialista recalcó que en el país no hay ley de ciberseguridad, aunque sí hay de protección de datos personales, donde el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) puede asesorar para formular solicitudes o presentar denuncias.
Cabe destacar que la página oficial del Municipio de San Luis de la Paz (encabezado hasta hace un mes por el priista Luis Gerardo Sánchez Sánchez, hoy con Jaime Mata Pérez como alcalde interino) tiene meses sin funcionar.
Esto es responsabilidad de la dependencia a cargo porque estas páginas que no están funcionando pueden ser utilizadas como base de entrada para los atacantes”.
Lamentó también que en estos días de campañas políticas, ninguna de las personas candidatas ha hecho propuestas claras hacia lo digital, lo tecnológico y cómo se va a cuidar.
Víctor Ruiz reconoció que es casi imposible que las personas vulneradas en su información personal cambien su domicilio o la clave del INE pero pueden cuidarse de dar los datos personales estrictamente necesarios, cambiar con frecuencia las contraseñas de los servicios digitales, usar la autenticación múltiple y estar atentas a que cualquiera puede ser susceptible de un ciberataque.
DAR