Ha sido noticia internacional, y por lo tanto muchos ya están enterados de que la Lista Nominal de Electores (LNE) en que constan múltiples datos de millones de mexicanos, estuvo expuesta de forma insegura, y accesible para su descarga sin controles de seguridad.

Aunque se ha intentado vender lo contrario, la información disponible apunta a que la LNE estuvo al descubierto debido a una incorrecta configuración de la base de datos que la contenía y que estaba alojada, para más inri, en un servidor ubicado en los Estados Unidos de América.

Tres fueron las fuentes originales de esta noticia, que durante el viernes 22 de abril de 2016 se expandió, en parte, gracias a las redes sociales:

1. Este video de MacKeeper: Massive Data Breach of Mexican Voter Data,
2. Esta entrada de Chris Vickery: BREAKING: Massive Breach of Mexican Voter Data, y
3. Esta entrada desde el blog especializado en vulneraciones de seguridad “DataBreaches.net”: Personal info of 93.4 million Mexicans exposed on Amazon.

Desde entonces y hasta el día de hoy, se ha dado a conocer mucha información que, en algunos casos, puede resultar confusa.

La primera información oficial disponible proviene del propio Instituto Nacional Electoral (INE), que el 25 de abril de 2016 publicó una Nota de Prensa, de la cual extraemos:

• “INE actuó con diligencia y prontitud para proteger datos personales de la ciudadanía”.
• “Instruyó a la Unidad Técnica de lo Contencioso Electoral apresurar investigación y conocer resultados”.
• “… el profesionalismo con el que se ha actuado nos ha permitido identificar la huella electrónica, la huella digital, que corresponde a la Lista que ilegalmente fue puesta a disposición pública en un portal de internet.”
• “Gracias al profesionalismo con el que se actuó, la información de nosotros los mexicanos que nos hemos inscritos en el Padrón Electoral está salvaguardada y el acceso a la base de datos está cerrada”.
• “Tanto la Unidad de lo Contencioso como la Fiscalía Especializada para la Atención de Delitos Electorales cuentan con todos los elementos jurídicos para resolver este asunto en breve e imponer las sanciones administrativas, por lo que corresponde al INE, y aplicar las responsabilidades penales por parte de la Fiscalía”

Como puede leerse, el propio INE se encargó de indicar en sus primeras declaraciones oficiales que había identificado al partido político que habría sido responsable de la fuga de información, si bien se abstuvo de hacer pública dicha identificación. Se indicó, eso sí, que la LNE filtrada correspondería a una copia electrónica entregada por mandato legal a dicho partido político.

El día 27 de abril de 2016 el partido Movimiento Ciudadano levantó la mano para reconocer que la LNE filtrada era “la suya”, para argumentar, en el mismo acto, que los servidores de Amazon Web Services donde habían decidido alojar esta información habían sido atacados por “hackers profesionales”. Aquí pueden acceder al “posicionamiento” que este partido difundió en la fecha indicada: Posicionamiento de Movimiento Ciudadano: Lista Nominal.

Personalmente, ya opiné bastante en Twitter sobre la información y la posición de “víctima” con que Movimiento Ciudadano ha querido aparecer en este grave incidente, sin menor reconocimiento por su parte respecto de la inexistencia de un procedimiento de gestión de la información en ese partido, que explicase con mediana lógica no sólo por qué habían decidido “subir” esta información a una “nube pública”, sino también por qué la base de datos alojada en los servidores de Amazon lo fue sin que la LNE hubiese sido previamente cifrada.

En todo caso, lo que sí merece opinión y reprobación es la actitud “maten al mensajero” que dicho partido adoptó como “defensa” de su negligencia, según la cual, en clara estrategia de distracción, era necesario tratar a Chris Vickery como sospechoso del “hackeo” que supuestamente sufrió Amazon, ya que este experto en seguridad fue quien dio con la filtración y, “obvio”, en lugar de callar su descubrimiento tuvo a bien anunciar lo que estaba ocurriendo.

La respuesta de Chris Vickery a las acusaciones de Movimiento Ciudadano se puede escuchar en esta entrevista, donde aquél aclara la forma en que accedió al archivo “padron2015” que contenía la LNE, sin necesidad de haber hackeado ningún sistema de información.

Entre el 27 y 28 de abril, diversos medios mexicanos publicaron que Amazon negaba oficialmente haber sido hackeado, indicando dichos medios, en casi todos los casos, lo siguiente:

• “Lista nominal que subió MC, “almacenada de manera no segura”: Amazon”,
• “MC guardó de forma “no segura” el padrón: Amazon”, o
• “Lista nominal se almacenó de manera insegura: Amazon”.

Por su parte, el blog “DataBreaches.net” publicó un artículo en el cual explica paso a paso cómo pudo accederse a dicha información, sin necesidad de atacar ningún sistema; simplemente porque la información había sido guardada de forma no segura. El título del artículo lo dice todo: Accessing Movimiento Ciudadano’s database was as easy as 1, 2, 3. Para acceder a toda la información, debe solicitarse una contraseña al responsable del blog.

Por no hacer el cuento grande respecto a Movimiento Ciudadano, indiquemos que actualmente la posición de este partido político se resume en dos boletines que, marcados con fecha 2 de mayo de 2016, aparecen en su web:

• “No hubo filtración, fue hackeo…”, y
• “De lo de único que se puede acusar a Movimiento Ciudadano es de haber sido hackeado…”,

La primera consecuencia de la filtración de la LNE, con independencia de los actos de escapismo que hemos resumido, tomó forma el pasado 4 de mayo de 2016, cuando se anunció que el Consejo General del INE aprobaba los “lineamientos para el acceso, verificación y entrega de los datos personales en posesión del Registro Federal de Electores, a los integrantes de los Consejos General, Locales y Distritales; las Comisiones de Vigilancia y los Organismos Públicos Locales”.

Favor de notar, tal y como aclaro más adelante, que esta materia no es nueva para el INE, pues existen Lineamientos previos sobre esta materia, publicados en el Diario Oficial de la Federación (DOF) en febrero de 2013 y un Procedimiento de Entrega de la Lista Nominal de Electores, publicado en el mismo medio en junio de 2015.

En su nota de prensa, decíamos, el INE informó que

• “Los Lineamientos establecen que para los procesos electorales 2017-2018 se entregará a los partidos políticos, para su labor de verificación de la Lista Nominal, los datos de los mexicanos como son: nombre completo, entidad, distrito, municipio y sección, y podrán acceder a los demás datos personales no entregados físicamente a través de los centros de consulta dispuestos en las oficinas del Registro Federal de Electores y en las Juntas Locales y Distritales.”,
• “Se trata de que los partidos políticos sigan contribuyendo a la calidad del Padrón Electoral, y de eliminar cualquier posibilidad de que la secrecía de datos personales como el domicilio, la clave de elector y el campo conocido como OCR, puedan ser divulgados, difundidos o utilizados”,
• “… el reto consiste en que “los partidos y la autoridad electoral nos ajustemos a los desafíos que nos impone un tema que hace 25 años era desconocido para todos, que es el de la protección de los datos personales”.”
• “dichos lineamientos [los nuevos] responden a tres principios fundamentales como son “la protección de datos personales es una garantía constitucional del ciudadano; el derecho de los partidos políticos de acceder a las bases de datos personales del padrón y el contenido de las listas nominales para su revisión; y el cuidado de los datos personales que se tienen en el Padrón como una responsabilidad del Estado que recae en el INE y en los partidos políticos”.”

Conforme a lo anterior, en los siguientes procesos electorales los partidos políticos no podrán contar con una copia de la LNE en la que conste el domicilio de los votantes mexicanos y la clave de elector que individualiza a cada persona frente al INE.

Cabe señalar, sin embargo, que la nota de prensa publicada por el INE no se refiere a las siguientes cuestiones, las cuales quedarían en este momento sin resolver:

• ¿Qué sucederá con todas las Listas Nominales de Electores que ya han sido entregadas a los partidos políticos?; ¿deberán devolverlas al INE?; ¿deberán destruirlas los partidos políticos?; ¿en ese caso, deberán acreditar la destrucción de dichas listas, de manera fehaciente?

• En caso de que no exista obligación de devolver las listas actualmente en posesión de los partidos políticos, ¿se ordenará a éstos que implementen medidas de seguridad para asegurar que no ocurran, en la medida de lo posible, filtraciones como la que ocasionó el partido Movimiento Ciudadano?

• ¿Serán considerados y aplicados por el INE los “Lineamientos para el acceso, verificación y entrega de los datos personales en posesión del Registro Federal de Electores por los integrantes de los Consejos General, Locales y Distritales, las Comisiones de Vigilancia del Registro Federal de Electores, los partidos políticos y los organismos electorales locales”, publicados en el DOF el pasado 12 de febrero de 2013?

• ¿Ha definido el INE si dichos Lineamientos continúan vigentes y, por lo tanto, si deben ser observados por los partidos políticos en 2016?

• En caso de considerarse vigentes (como apunta su Acuerdo INE/CG249/2014), ¿qué consecuencias acarrearía la inobservancia de estos lineamientos por parte de cualquier persona o institución obligada a su cumplimiento?

• Será considerado y aplicado por el INE el «Procedimiento de Entrega de la Lista Nominal de Electores para su Revisión, a los representantes de los Partidos Políticos acreditados ante las Comisiones de Vigilancia, en el marco del Proceso Electoral Federal 2014-2015«, publicado en el DOF el pasado 1 de junio de 2015?

Como puede observarse, nos encontramos con que a pesar de la “novedad” de la última noticia sobre esta materia, en nuestro sistema jurídico ya existen disposiciones especiales que regulan el acceso, verificación y entrega de los datos personales contenidos en la Lista Nominal de Electores (para su revisión).

Y es de hacer notar que en el “Procedimiento de Entrega” publicado hace menos de un año, ya se hace constar, entre otras cuestiones, que:

• Desde la Dirección de Operaciones del Centro de Cómputo y Resguardo Documental y la Coordinación de Procesos Tecnológicos del INE…
  • deberá asignarse una marca de rastreabilidad a los archivos y que todo archivo generado deberá contener una marca de rastreabilidad para diferenciarlo.
  • deberán asignarse nombres a los archivos, considerando el ámbito de la Comisión de Vigilancia, la entidad de los registros que contiene, y el partido político al que se entregará.
  • deberán cifrarse los archivos que integran la marca de rastreabilidad.
  • deberán generarse claves de accesos únicas por archivo. Para los archivos a entregar a las representaciones ante la Comisión Nacional de Vigilancia (CNV), se utilizará una clave única por partido político.
  • Deberán transferirse los archivos cifrados a un servidor de distribución.

Cabe también señalar que en la Tabla 3 del «Procedimiento de Entrega» al que nos referimos, «se describen los mecanismos de seguridad y control que serán aplicados en las actividades del procedimiento para la generación y entrega de la Lista Nominal de Electores para Revisión, así como el objetivo específico de cada uno de dichos controles, teniendo como objetivo en su conjunto el asegurar la confidencialidad y la protección de los datos personales proporcionados por los ciudadanos al Registro Federal de Electores.»

Puede verificarse todo lo anterior en la siguiente transcripción (parcial) del Procedimiento de Entrega de la Lista Nominal de Electores para su Revisión, a los representantes de los Partidos Políticos acreditados ante las Comisiones de Vigilancia, en el marco del Proceso Electoral Federal 2014-2015:

Tabla 1

Procedimiento de entrega de la LNER a las representaciones partidistas ante las Comisiones de Vigilancia

Tabla 3.

Mecanismos de seguridad y control a ser aplicados en el procedimiento

Como ya hemos alargado mucho esta entrada, en su continuación seguiremos analizando el escenario legal que hemos “descubierto” tras los sucesos que rodean al #INEgate.

Mientras ello sucede, agradezco su atención a este tema, que afortunadamente ha generado interés en la ciudadanía en relación con el tratamiento adecuado de sus datos personales.

Imagen: Chris Vickery