El reciente robo de los datos personales de 263 periodistas acreditados en presidencia es un ejemplo de los riesgos en seguridad cibernética que prevalecen en México y de la necesidad de acotarlos, coincidieron expertos.
La jefa del Departamento de Computación de la Facultad de Ingeniería de la UNAM, Rocío Aldeco-Pérez, afirmó que la cultura de la seguridad es pobre en México y planteó que el caso que afectó a comunicadores es uno de muchos robos de bases de datos a gobierno y empresas.
“Por eso es que en México tenemos una cantidad impresionante de impersonificación, de que alguien más pide un crédito por ti o ya te clonaron tu tarjeta, ya te sacaron dinero de tu cuenta”, expuso la profesora de carrera asociada en entrevista con Mexiquense Digital.
Catalogado por presidencia como una extracción ilegal de datos, el caso se hizo público el viernes y afectó a periodistas acreditados para la conferencia matutina del presidente Andrés Manuel López Obrador, quedando expuesta la credencial de elector con domicilio de 186 de ellos.
Según el vocero presidencial, Jesús Ramírez, la información estaba en un archivo de una página de pruebas del sitio para acreditaciones a la que el atacante ingresó utilizando la cuenta de usuario y clave de un ex empleado que dejó de laborar hace dos años.
Aldeco-Pérez planteó que existen medidas para evitar robos como el descrito por el vocero, entre ellas no utilizar datos reales en sitios de prueba, autenticación de dos pasos con el envío de un código al teléfono celular y la cancelación de credenciales de ex trabajadores.
Una medida ideal es que los datos almacenados estén cifrados para que sea casi imposible que un atacante pueda leerlos y, para información extremadamente sensible, el bloqueo de IP’s fuera de México, detalló.
“Desde el punto de vista tecnológico parece como simple, como muy obvio hacerlo, pero en la práctica no sucede así y los factores son diversos”, añadió la doctora en Ciencias de la Computación.
La académica enfatizó que el acceso a datos sensibles tiene que estar restringido para empleados a menos que sea justificado, además de que las autoridades y compañías deben plantearse si es realmente necesario que recaben esa información.
Un problema generalizado en México es que hacen falta más especialistas en seguridad y no todos los programadores conocen las medidas necesarias para evitar los ataques, apuntó.
Explicó que la sustracción de bases se realiza comúnmente para su venta en el mercado negro digital a compradores que las utilizan para robar identidades masivamente, como por ejemplo para hacer cargos en tarjetas bancarias, pero en otras ocasiones los atacantes no buscan lucro.
Los datos robados de los periodistas, en los que figuraron copias de 63 pasaportes, 10 documentos migratorios de comunicadores extranjeros y fotografías, se divulgaron en un sitio sin cobro de por medio para su obtención, según las primeras versiones.
“La cultura de la seguridad y del tratamiento de datos personales es, no voy a decir que nula, pero es poca en nuestro país y estos ejemplos son interesantes porque abren la puerta para poder platicar de eso”, afirmó la académica.
Por separado, el presidente de la Academia Mexicana de Derecho Informático, Joel Gómez Treviño, señaló que es necesario capacitar a todo empleado con computadora sobre los riesgos de accesos no autorizados o “caballos de Troya” porque no siempre llegan a través de fallas en los sistemas.
Gómez Treviño consideró grave la extracción de la información de periodistas y abundó que, según la definición de la legislación mexicana, el archivo robado es una base de datos en la que inclusive las fotografías contenidas se consideran datos personales porque revelan un origen étnico.
La disponibilidad pública de datos, como las credenciales de elector, pueden ser utilizados para la apertura de créditos o actuaciones ante autoridades que acepten fotocopias como identificación, advirtió en entrevista el también socio director de la firma Lex Informática Abogados.
“Lo que pasó es un ejemplo de lo que no debería de pasar y de lo que todos deberíamos estar preparados para que no sucediera, pero también hay que ser honestos, las cosas suceden y también hay que tener una preparación para precisamente una respuesta o una reacción a incidentes cibernéticos”, dijo.