Monterrey

AWS o la ignominia de la información confidencial

OPINIÓN. El que un partido político tenga acceso a la información privada de un ciudadano, es un atentado contra uno de los derechos humanos más básicos: a la confidencialidad de nuestra información que nos puede poner en riesgo.

Amazon Web Services es un conjunto de servicios en lo que se conoce como "la nube". Esos servicios abarcaban el cálculo de grandes cantidades de datos (pueden llegar a ser hasta millones de operaciones por minuto); la plataforma del Internet of Things, análisis de datos, así como herramientas de desarrollo de software. Por supuesto cuenta con servicios de almacenamiento de bases de datos.

El servicio de almacenamiento más básico es conocido como Simple Storage Service (S3). Si bien es una interfase muy amigable y fácil de usar, de acuerdo con lo que comenta un experto en la materia, un solo ejemplo de una compañía que lo utilizan es Netflix con sus millones de horas de video. ¿Será tan ingenua esa compañía como lo implica la justificación que dio el Responsable de Movimiento Ciudadano? ¿O es más bien un insulto a la inteligencia la pantomima de la demanda contra quien resulte responsable? ¿Se incluye a él mismo?.

En cuanto al costo de dicho servicio varía de acuerdo al uso. Aun cuando es básicamente imposible saber a ciencia cierta cuanto pagaba Movimiento Ciudadano, puesto que no sabemos qué más guarda (es un decir) el experto estima que una base de datos de 132 GB, serían solo 3.96 dólares al mes o menos de 70 pesos al mes. Le recuerdo que el INE tiene un presupuesto de quince mil millones de pesos al año.

En cuanto a la seguridad, AWS cuenta con un módulo gratuito llamado AWS Identity and Access Management (IAM), que es un administrador de permisos para todos sus servicios. Ahi se pueden designar permisos para cada una de las personas que acceden a la información. Sin embargo, el experto comenta que todo indica que no se utilizó dicho servicio de protección.

Chris Vickery fue la persona que encontró los datos. Él estaba buscando en el Amazon Web Services archivos que presentaran un error de configuración en un tipo de bases de datos llamadas MongoDB. Encontró un archivo llamado "padron2015" de 132 GB, que contenía datos de 93.4 millones de mexicanos.

En su blog comenta que estaba dando una plática en Harvard y entre la audiencia había un mexicano que pudo corroborar la veracidad de su información, supuestamente confidencial.

Como dato interesante, la base de datos tiene personas duplicadas; la base de datos de Febrero 2015 tiene 81 millones de votantes contra los 93.4 millones que encontró Vickery. Así fue como encontraron que partido político subió su copia, puesto que cada copia tiene diferencias intencionales para facilitar el rastreo.

Según el sitio databreaches.com, quienes dicen estar en contacto directo con Vickery desde hace tiempo, Movimiento Ciudadano está tratando de demandar a Vickery por "hackearlos", pero Vickery niega que haya hackeado nada; simplemente dejaron el archivo sin seguridad alguna y solo por eso él lo pudo encontrar.

El conocedor de la materia con quien platiqué acerca de las capacidades y veracidad comentó: "Nunca he manejado el "Shodan" pero lo que dice sí suena coherente y consistente; nunca hubiera encontrado la base de datos si no fuera pública".

Independientemente de los aspectos técnicos, hay una pregunta básica: ¿Por qué los partidos políticos tienen copias de la información privada y confidencial (si, como no) de los ciudadanos? ¿Alguna vez le preguntaron si Ud. aprobó que pudieran usar su información?.

El decir que "la ley lo permite" es una falacia. Los partidos políticos hacen la ley a su modo. El que un partido político tenga acceso a la información privada de un ciudadano, es un atentado contra uno de los derechos humanos más básicos: a la confidencialidad de nuestra información que nos puede poner en riesgo.

Piense en los antecedentes de los diversos partidos al postular y solapar supuestos criminales, y no de ahora. Otro partido bloquea el 3 de 3. Uno más, que si no respeta las leyes que prohíben las precampañas con tal de imponerse en la Presidencia, ¿de verdad respetará otras leyes? En manos de esos presuntos está nuestra información privada. Reitero: quince mil millones de pesos y todo para que nos roben por partida doble.

Agradezco la colaboración especial de S. Moreno R.

* El autor es Doctor en Finanzas por la Universidad de Tulane; cuenta con la Maestría en Alta Dirección de Empresas, en el IPADE. Se desempeñó como Director General de entidades del área Internacional en Santander Serfin. Es Director del programa OneMBA y tiene su Despacho asociado con Crowe Horwath para proporcionar asesoría en temas de Finanzas Corporativas.

Esta es una columna de opinión. Las expresiones aquí vertidas son responsabilidad únicamente de quien la firma y no necesariamente reflejan la postura editorial de El Financiero.

También lee: