Función Pública expuso la declaración patrimonial de 830,000 funcionarios públicos

La Secretaría de la Función Pública dejó en línea, sin contraseñas ni otros métodos para restringir su acceso, una base de datos con parte de las declaraciones patrimoniales de 58% de los empleados de la Administración Pública Federal y datos personales considerados “clasificados”. Para la SFP, se trató de “una forma alternativa de acceso a datos públicos”.

Un incidente de seguridad de la información de la Secretaría de la Función Pública dejó a la vista de cualquiera parte de las declaraciones patrimoniales de 830,000 funcionarios públicos del gobierno federal (58% de los 1,427,193 servidores públicos en activo). La información vulnerada, disponible en internet sin contraseñas ni otras medidas de seguridad, contenía datos personales considerados como “clasificados” por las autoridades de transparencia y forma parte de las declaraciones patrimoniales que los trabajadores de gobierno están obligados a presentar antes del 31 de julio de 2020.

Para la Secretaría de la Función Pública (SFP), el incidente se trató en realidad de “una forma alternativa de acceso a datos públicos”, de acuerdo con el equipo de comunicación social de la dependencia, consultado por El Economista sobre el caso.

Entre los datos personales expuestos era posible encontrar: ingresos netos de los declarantes; bienes inmuebles y vehículos declarados; inversiones, cuentas bancarias y otro tipo de valores declarados; adeudos, pasivos y créditos financieros vigentes, además de datos generales como números telefónicos, direcciones de domicilios particulares, CURP y RFC. Todos estos datos son “clasificados” de acuerdo con la norma decimonovena del acuerdo del 23 de septiembre de 2019 de la Secretaría Ejecutiva del Sistema Nacional Anticorrupción, responsable del diseño de las declaraciones patrimoniales de los empleados del gobierno federal.

Sin embargo, para la SFP la información expuesta “es de naturaleza pública y forma parte de los trabajos de interconexión con la Plataforma Digital Nacional, los datos que contiene pueden consultarse en el sitio: https://servidorespublicos.gob.mx/”, añadió la nota de prensa.

“Se ha puesto en un gran peligro a todos esos funcionarios públicos, porque la información que estuvo disponible es la más susceptible para ser utilizada en el robo de identidad”, advirtió Issa Luna Pla, investigadora del Instituto de Investigaciones Jurídicas de la UNAM.

La base de datos estuvo expuesta por lo menos desde el 6 de mayo y hasta el 30 de junio de 2020 a través del motor de búsqueda en internet Shodan, que indexó los registros con el certificado de seguridad (SSL, Secure Sockets Layer) de funcionpublica.gob.mx el primer miércoles de mayo desde la dirección IP 200.33.31.87. “La vía alternativa de acceso ya se encuentra bloqueada y hemos reforzado las medidas de seguridad”, dijo la SFP.

Durante 56 días en línea y sin restricciones de acceso, la base de datos siguió recibiendo registros con la información patrimonial de los funcionarios públicos que ingresaban al sistema digital DeclaraNet, creado y administrado por la Secretaría de la Función Pública para cumplir con sus obligaciones de transparencia.

“Se trató de un incidente producido por una mala configuración de seguridad, como suele ocurrir con los clústeres de Elasticsearch”, me dijo el analista de seguridad Bob Diachenko. Elasticsearch es un método de configuración de bases de datos que permite trabajar desde múltiples nodos y con tareas diversas.

Diachenko fue quien encontró la base de datos en Shodan y alertó por correo electrónico al subsecretario Luis Gutiérrez Reyes, responsable de Combate a la Impunidad de la SFP, el 30 de junio. Tras la alerta, los técnicos de la Secretaría de la Función Pública cerraron la brecha de seguridad. Diachenko ha revelado otras vulneraciones de datos de ciudadanos mexicanos, como las de la consultora KPMG, la proveedora del Seguro Popular de Michoacán Hova Health, la librería Porrúa o la startup de contabilidad Enconta, de la familia de la reparadora de créditos Resuelve tu Deuda.

De acuerdo con los registros de accesos a la base de datos disponibles en Shodan, una o varias personas que accedieron a esa base de datos exigieron un rescate para evitar una mayor publicidad de la información vulnerada. Los intrusos dejaron mensajes como “Tienes 7 días para contactarnos” y “Contáctanos o tu información será divulgada” y dos correos electrónicos. “No se pagó ningún tipo de rescate”, afirmó la Secretaría en su nota de prensa.

“El problema real es que las bases de datos que han estado expuestas en línea son susceptibles de replicarse y una vez que están en la web es muy difícil limitar de nueva cuenta el acceso. Por más que se tomen medidas inmediatas para bajar la información o restringir el acceso, nada garantiza que no se haya reproducido por otra vía”, dijo sobre el incidente María Solange Maqueo, académica del CIDE y experta en protección de datos personales.

La ley de protección de datos personales de las entidades del gobierno obliga a la SFP a informar a los titulares de los datos personales vulnerados, en este caso los 830,000 servidores públicos, sobre la naturaleza del incidente, la información comprometida, las recomendaciones para proteger sus intereses, las acciones correctivas tomadas inmediatamente después de conocido el incidente y los medios para obtener más información (artículo 41). La Secretaría de la Función Pública no respondió a una pregunta expresa sobre este punto.

“En la Secretaría de la Función Pública está en curso una investigación para deslindar responsabilidades y reforzar aún más nuestras medidas de control”, señaló la nota de prensa de la dependencia.

La Secretaría de la Función Pública es el zar anticorrupción del gobierno federal y tiene la tarea de vigilar y sancionar el actuar de los empleados de la administración pública federal. En el gobierno del presidente Andrés Manuel López Obrador, cuya principal bandera es la erradicación de la corrupción en México, la SFP se ha convertido en una supersecretaría, en una especie de dirección de administración y recursos humanos del gobierno federal. Entre sus iniciativas emblemáticas se encuentra el sistema digital Ciudadanos Alertadores, para realizar denuncias de hechos de corrupción en internet de manera anónima.

Toca a la propia Secretaría realizar la auditoría sobre este incidente y determinar las responsabilidades de los funcionarios públicos involucrados. “El vigilante vigilándose a sí mismo”, dijo Luna Pla. “Y desafortunadamente tenemos a la Secretaría reclamando a los reporteros por haber divulgado información personal de la titular (Irma Eréndira Sandoval) cuando se está descubriendo que no solamente se divulgó la de ella, sino también la de 830,000 funcionarios públicos. Es muy desafortunado esto y es grave”, añadió.

.

Filtración de datos personales de la Secretaría de la Función Pública

1. 🦶 Función Pública: patear la rendición de cuentas (17 de octubre, 2023)
2. Otro año de impunidad de la mayor filtración de datos de empleados del gobierno (26 de junio, 2023)
3. Secretaría de la Función Pública: dos años de impunidad (4 de julio, 2022)
4. Video: Secretaría de la Función Pública: la mayor filtración de datos de empleados federales. Seminario Permanente de Derecho y Tecnología de la Ibero y el CIDE (29 de junio, 2022)
5. Video: ¿Los empleados del gobierno tienen privacidad? (YouTube, 22 de octubre, 2021)
6. Secretaría de la Función Pública: poner el ejemplo (5 de agosto, 2021)
7. Función Pública no ha encontrado responsables de la filtración de datos personales de 2020 (8 de agosto, 2021)
8. Inai alerta de posible robo de datos personales tras “hackeo” a Función Pública (4 de diciembre, 2020)
9. Función Pública violó la ley por fuga de datos personales: Inai (24 de noviembre, 2020)
10. Función Pública: silencio y opacidad (13 de septiembre, 2020)
11. Función Pública clasificó como confidenciales los detalles de su fuga de datos personales (11 de septiembre, 2020)
12. Función Pública reconoció una exposición masiva de datos, dice el presidente del Inai (27 de julio, 2020)
13. Inai ya investiga fuga de datos personales confidenciales en Función Pública (24 de julio, 2020)
14. Secretaría de la Función Pública reconoce que expuso datos personales confidenciales (20 de julio, 2020)
15. Exposición de datos en Función Pública despierta preocupación en la comunidad del Conacyt (14 de julio, 2020)
16. ¿Quién protege a los funcionarios públicos? (5 de julio, 2020)
17. Función Pública expuso la declaración patrimonial de 830,000 funcionarios públicos (4 de julio, 2020)

🕊️ Adiós, DVD; adiós, Blu-ray

La cadena de tiendas Best Buy anunció que a partir de 2024 dejará de vender discos DVD y Blu-ray. 

• El Blu-ray fue el último formato físico para reproducir películas en el hogar de una larga lista de opciones que se inició a finales de los años setenta con la popularización del formato Beta de Sony. 
• En los dosmiles circularon las memorias USB, pero nunca fueron un formato comercializado oficialmente. Digamos que era el repositorio de descargas no siempre legítimas. 😬

¿Por qué importa? Best Buy es uno de los mayores distribuidores de electrónica de consumo en Estados Unidos. Sus decisiones comerciales pueden influir en otros distribuidores.

“Para decir lo obvio: la forma en que vemos películas y programas de televisión es muy diferente hoy que hace décadas”, dijo un portavoz de Best Buy al sitio de noticias Axios.

• La decisión de Best Buy coincide con el cierre del negocio de renta de películas de Netflix, la vertical que dio inició al gigante del entretenimiento que conocemos hoy por su servicio de streaming.

¿Tú todavía usas DVD? Cuéntamelo todo. 💅

Comentarios