La privacidad de los periodistas — Newsletter 124°
José Soto Galindo
30 enero, 2024Estamos horrorizados por la perspectiva de tener los destinos de nuestro país en las manos de líderes que una y otra vez han demostrado su incapacidad para pensar rectamente, rectificar sus errores o salir de una mala situación sin crear otra peor.— Lewis Mumford
Economicón es la newsletter de privacidad y sociedad de la información de México. La escribo yo, José Soto Galindo. Bienvenidos a la edición 124°.
Hoy todo lo que tienes que saber sobre la filtración de datos de reporteros de la mañanera.
- 🛟 Al final de esta newsletter hay consejos urgentes para los periodistas afectados.
- Aunque sirven para cualquier persona.
🙏 ¿Te gusta Economicón? Compártelo a otras personas interesadas en proteger su privacidad.
También puedes copiar esta liga y enviarla por WhatsApp.
1. La privacidad de los periodistas
Una base de datos personales con 323 registros de periodistas de México circula en internet sin medidas de protección.
- Esta divulgación ilegal de datos personales crea riesgos a la seguridad física de los periodistas afectados, a su patrimonio moral y a su dignidad, en uno de los países más peligrosos para ejercer el oficio del periodismo. (El Economista)
- El asunto es tan grave que la responsable de política interna, Luisa María Alcalde, llamó a su subsecretario de Derechos Humanos y a dos altos ejecutivos de la Presidencia de la República, principales responsables de resguardar la seguridad de la información vulnerada, a que dieran explicaciones en una rueda de prensa. (YouTube, 29 de enero de 2024)
Según mis cálculos, la base de datos contiene información de casi 10% de los periodistas que se han registrado para acudir a la mañanera, la conferencia de prensa matutina del presidente Andrés Manuel López Obrador, desde que se inició el ejercicio en 2018.
- 52% de los afectados usó “direcciones de servicios de correo comerciales, como Gmail y Hotmail. Es una situación grave porque el correo personal suele estar asociado con el uso de múltiples servicios, como Netflix”, escribió el analista Luis Cortázar en Economicón.
¿Qué datos se vulneraron?
La base vulnerada tiene 323 registros individuales con nombres, correos electrónicos, números telefónicos y nombre del medio de comunicación al que el reportero está o estuvo involucrado al momento de registrarse a las mañaneras.
Además hay fotos de documentos oficiales de 263 personas que exhiben una diversidad de datos:
- Fotografías de la credencial para votar de 186 personas (frente y vuelta)
- Fotografías del pasaporte de 63 personas
- 2 currículos vitae (hojas de vida)
- Una licencia emitida en Estados Unidos
- Una copia de la CURP (un registro de identificación alfanumérico asignado por la Secretaría de Gobernación)
- 10 documentos migratorios expedidos por el Instituto de Migración mexicano (INM)
La credencial para votar la genera el Instituto Nacional Electoral (se conoce por la sigla de esa entidad: INE), sirve como documento de identificación a escala nacional y muestra los siguientes datos:
- nombre completo
- retrato del titular de la credencial
- fecha de nacimiento
- entidad, municipio de residencia y, en algunos casos, domicilio
- Las credenciales por lo general muestran calle y número porque le sirve a las personas en trámites donde se pide cotejar su domicilio.
- Entre las credenciales filtradas hay unas pocas que no lo tienen, porque sus titulares así lo pidieron al momento de tramitar la credencial, pero son las menos.
- imagen de huella dactilar
- firma digitalizada
La base de datos estuvo a disposición de cualquier persona y de manera gratuita en un foro de hackers.
2. ¿Por qué es grave la filtración?
☣️ Sí, es grave y mucho.
México es uno de los países más peligrosos para ejercer el periodismo.
- Las amenazas son diversas y provienen de múltiples actores, pero son principalmente políticos, grupos criminales, corporaciones policiacas y particulares los responsables de poner en riesgo a los periodistas. (Economicón en YouTube)
El presidente López Obrador no se ha distinguido por la mesura cuando se refiere a la prensa privada, un sector al que acusa de jugar al juego de los poderosos que quieren descarrilar su gobierno. (Economicón en YouTube)
🧨 Esta posición, que tampoco está lejos de la realidad, ha provocado un clima de encono contra periodistas famosos en la opinión pública y, en algunos casos, puede considerarse la gasolina para las amenazas y el hostigamiento y la violencia digitales contra algunas personas.
- La reportera Reyna Haydee Ramírez y la politóloga y escritora Denise Dresser son algunas de estas personas: han vivido linchamientos digitales en coincidencia con sus participaciones en las mañaneras del presidente. (Economicón)
Luisa María Alcalde, secretaria de Gobernación, lo entendió y en la conferencia del 29 de enero machacó en el ofrecimiento de medidas de protección para los afectados.
“Cualquiera que considere o se sienta amenazado o en riesgo (por la vulneración de sus datos), aquí están los datos del mecanismo (de protección a defensores de derechos humanos y periodistas) de la Secretaría de Gobernación”, dijo Alcalde:
- Vía telefónica: 5539585629
- Por correo: mecanismo@segob.gob.mx
- En X (antes Twitter): @Mecanismo_MX
- En Facebook: Mecanismo de Protección Federal
3. ¿Cómo ocurrió la filtración?
Una persona con acceso a la base de datos (usuario y contraseña) alojada en un servidor utilizado por la Presidencia de la República (alfa.gob.mx) hizo una copia de los datos.
El robo se realizó el día 22 de enero de 2024.
- Según el relato de Jesús Ramírez Cuevas, jefe de prensa de la Presidencia, la persona que extrajo la información confidencial dejó de trabajar en Presidencia “hace menos de dos años, más o menos”.
- 🔓 Esto significa que durante casi dos años esa persona tuvo acceso a la base de datos hoy vulnerada y, quizá, a más instancias con información confidencial de la Presidencia.
No fue un hackeo, una intromisión rompiendo medidas de seguridad:
- Extracción: fue un robo de datos realizado por una persona con usuario y contraseña de acceso al sistema.
- Filtración: luego, esa persona publicó los datos en un foro de hackers para descarga de cualquiera, sin costo.
“No se vulneró el servidor. (…) Se ingresó al sistema por medio de un usuario, con una cuenta de usuario de alguien que ya no trabaja en la Presidencia de la República, desde direcciones IP registradas en España”, dijo Emiliano Calderón Mercado, coordinador de Estrategia Digital Nacional, presente en la conferencia de la secretaria Alcalde.
- Paréntesis: tan relevante ha sido para López Obrador la Estrategia Digital Nacional —que ejecuta la política pública de tecnologías de la información y la comunicación en el gobierno federal— que es la sexta vez que su responsable, Emiliano Calderón, participa en una conferencia en el Salón Tesorería de Palacio Nacional.
La secretaria Alcalde y sus invitados informaron de que están trabajando con la Guardia Nacional (la policía militarizada del gobierno federal) y que se presentará una denuncia en la Fiscalía nacional.
Newsletters anteriores:
- Reformas urgentes a las leyes de datos personales
- 🪇 Los Ángeles Azules ganan la Corte
- 🔥 Sentencias que queman
- Inai: 17 nuevos criterios de interpretación
- 📚 5 libros para entender el 2024
- ¿Tienes información sobre filtraciones de datos?
- ¿Quieres anunciarte en Economicón?
Escríbeme a soto.galindo@gmail.com
4. ¿Qué puedes hacer si fuiste afectado?
Si crees que tus datos personales fueron filtrados, pide a la agencia de privacidad de México (el Inai) que investigue y, si es el caso, sancione a los responsables.
- Si tienes alguna evidencia te será más fácil convencer a la agencia de que tus datos fueron divulgados a terceros sin tu consentimiento.
¿Cómo denunciar?
La agencia de privacidad es responsable de vigilar que las leyes de protección de datos en México se cumplan.
- Hay dos leyes: una para particulares (los privados) y otra para el sector público federal (el gobierno).
Puedes presentar tu denuncia por correo electrónico escribiendo a: investigayverifica@inai.org.mx
La agencia de privacidad recomendó que la denuncia lleve la siguiente información:
- Nombre completo de la persona que denuncia o de su representante.
- Domicilio o medio para recibir notificaciones de la persona que denuncia.
- Relación de los hechos en que se basa la denuncia y algo de evidencia: puede ser una publicación de prensa, como el link a un noticiero.
- En mi experiencia, basta tu simple sospecha.
- Te paso un dato: al parecer la base filtrada contiene registros manipulados entre abril de 2022 y octubre de 2023.
- ¿Fuiste a la mañanera en esas fechas? Denuncia.
- Nombre de la persona u oficina pública que se denuncia, en este caso: la Coordinación General de Comunicación Social del Gobierno de la República, subordinada a la Oficina de la Presidencia de la República y que dirige Jesús Ramírez Cuevas.
- La firma de la persona que denuncia o de su representante.
¿Cuánto dura el trámite?
El Inai trabajará con rapidez, pues se trata de un tema caliente en la opinión pública, pero hay tiempos y procedimientos que no puede obviar: por lo menos son 50 días hábiles para la investigación y 50 más para la verificación.
- ⏳ Después vendrá la discusión en el pleno del Inai (si todavía existe) y la votación de una resolución del caso.
¿En días hábiles? El resultado se conocerá, más o menos, en la semana posterior a la elección presidencial del 2 de junio de 2024.
- 🧘♂️ Lo que recomiendo es paciencia y serenidad.
5. 🛟 Consejos urgentes para los periodistas afectados
Luis Cortázar, analista, especialista en medios digitales y colaborador de Economicón, publicó en su cuenta de X (@blisete) estos consejos urgentes:
- Cambia las contraseñas de tus cuentas de correo personales.
- Activa la verificación de dos pasos:
- Cambia las contraseñas de los servicios vinculados a tus cuentas de correo personales.
- En adelante, realiza una confirmación activa de los archivos no solicitados que recibes por correo o mensajería.
- Si no pediste algo y parece sospechoso, probablemente lo es. Mejor confirma.
También puedes revisar los consejos de seguridad digital para periodistas y medios de comunicación independientes compilados por la organización ciudadana Derechos Digitales.
6. 🔮 ¿Habrá castigo?
Te cuento el futuro: no habrá castigo respecto a lo que resuelva el Inai.
- 🍫 Cuando se trata de infractores de la ley de datos en el sector público, el Inai es de chocolate.
- Y un poco también con el sector privado, debido a la litigiosidad de la materia y la potencia jurídica de las corporaciones.
Hay que considerar que se abren dos vías:
- La vía penal, con la denuncia que presentará el gobierno contra la persona que dejó de trabajar en Presidencia “hace menos de dos años, más o menos”.
- La administrativa, que realizará el Inai como responsable de garantizar el derecho constitucional a la protección de datos personales.
Te cuento el futuro:
- El Inai va a investigar la filtración y encontrará violaciones a la ley general de datos personales de parte de la Presidencia de México.
- El Inai va a ordenar que se investigue y se sancione a los responsables.
- La decisión del Inai llegará a la Presidencia y tocará a un ministerio subordinado al presidente dar seguimiento a esa orden: investigar y sancionar a los responsables.
- Este ministerio —la Secretaría de la Función Pública— es responsable de vigilar y sancionar las infracciones de los trabajadores del gobierno.
- Si Claudia Sheinbaum, del partido de López Obrador (Morena), gana las presidenciales de junio, la orden del Inai se quedará en el cajón de algún escritorio y no habrá castigo.
- Es muy probable que gane Sheinbaum: le saca 27 puntos de ventaja a Xóchitl Gálvez, su más cercana contrincante electoral. (El País)
Tenemos ya dos ejemplos en este gobierno:
- López Obrador divulgó indebidamente datos fiscales y patrimoniales del periodista Carlos Loret de Mola en 2022. La agencia de privacidad ordenó asignar sanciones contra el presidente. Eso no ha ocurrido… ni ocurrirá.
- La Secretaría de la Función Pública publicó sin controles de seguridad los datos personales de casi 1 millón de personas servidoras públicas en 2020. Era información de sus declaraciones patrimoniales. Un error en la configuración de seguridad la dejó expuesta. No hay responsables concretos ni castigo asignado.
Suscríbete a mi canal de YouTube
- Conversaciones a profundidad con las personas más expertas y más profesionales de la privacidad y la sociedad de la información.
Otras noticias
México
- ¿Qué son los “neuroderechos”?, de Gabriel Torres Espinoza (Milenio)
- Neuroderechos, el foro del Inai por el Día de la Protección de Datos Personales (Milenio)
- SAT aplicará inteligencia artificial para fiscalizar y combatir evasión (El Universal)
- Sushi Itto “contrata” a un mesero robot (Expansión)
América
- ¿Qué lecciones deja a los medios de comunicación la mentira de Geraldine Fernández? (Fundación Gabo)
- Brasil: Regulando a ficção científica? Conheça os Neurodireitos (Data Privacy Brasil)
- Estados Unidos: The new bundle: Charter Spectrum’s deal with TelevisaUnivision (Axios)
- Estados Unidos: Jailed BreachForums creator, admin sentenced to 20 years of supervised release (Cyberscoop)
- Estados Unidos: How Walmart’s Financial Services Became a Fraud Magnet (ProPublica)
Europa
- Google is changing how search results appear for European citizens (The Register)
Global
- The biggest data protection fight you’ve never heard of (Rest of World)
- Wikipedia is here to stay (Down The Rabbit Hole)
- El oficio de ‘influencer’ es menos glamuroso de lo que aparenta (The Conversation)
- ‘Streamer’, el nuevo trabajador cultural explotado: “Si descansas, el algoritmo te penaliza” (elDiario.es)
Conecta con la comunidad Economicón
- 👩🏻💼 Conecta con las personas fundadoras de empresas, consejeras y ejecutivas que leen Economicón.
- 👩🏻⚖ Haz que tu mensaje llegue a las profesionales del derecho, la tecnología y los medios que no se pierden esta newsletter.
- Economicón te ayuda a pulir tus ideas y a comunicarlas a la comunidad correcta.
- Escríbeme: soto.galindo@gmail.com
Revisa mi política de publicidad.
💬 Comparte Economicón
👊 Reenvía para que más personas tomen el control de su privacidad.