SAT: robo de datos personales durante una década. Ilustración original de Nayelly Tenorio

Le sugiero, estimado lector, que se prepare un té para los nervios y tome asiento. Lo que sigue puede dejarlo helado. Son las confesiones de Raquel Buenrostro Sánchez, titular de la oficina de recaudación de impuestos en México, sobre una extracción ilegítima de toda la información de esa oficina —sí, toda la información— que duró entre 10 y 15 años.

Es una extracción de datos fiscales, patrimoniales y personales de 31 millones de personas físicas, 47 millones de personas asalariadas (que tributan a través de sus patrones) y de 2.3 millones de personas morales. La ley la considera una “vulneración de seguridad”, por tratarse del robo, extravío o copia no autorizada de la información personal y por tratarse de un uso, acceso o tratamiento no autorizado.

Buenrostro conoció de este robo sistemático a los tres meses de llegar al SAT (Servicio de Administración Tributaria) y, dos años después, apenas decidió comunicar a la ciudadanía.

La oficina de protección de datos personales, el Inai, tiene que defender nuestros derechos humanos. Tiene que investigar esta filtración de datos y también a Buenrostro, por negarle a los ciudadanos y contribuyentes la posibilidad de protegerse a tiempo de un uso indebido de su información personal. 

Analicemos las declaraciones de Buenrostro realizadas al periódico La Jornada el 20 de abril pasado: 

1. “Los primeros tres meses que estuvimos aquí encontramos tres cables que salían de los servidores del SAT”.

Buenrostro asumió el cargo el 15 de enero de 2020. Si el robo de información duró entre 10 y 15 años, entonces las transferencias ilegítimas se produjeron durante las jefaturas de José María Zubiría Maqueo (titular del SAT con Calderón), Alfredo Gutiérrez Ortiz Mena (Calderón), Aristóteles Núñez Sánchez (Peña Nieto), Osvaldo Santín Quiroz (Peña Nieto), y Margarita Ríos Farjat (López Obrador). Gutiérrez Ortiz Mena y Ríos Farjat hoy son ministros de la Suprema Corte.

2. “Olvídense de que se roban la información en el USB o lo hace un asesor fiscal que está ahí en la oficina. No, no. Había tres cables en los servidores”.

Tres conexiones directas a las bases de información del SAT. No hablamos de un simple huachicoleo —el delito de extracción de los ductos de hidrocarburos—, sino de una sustracción profesional permitida por funcionarios del SAT por acción u omisión.

3. “(Encontramos) 35,000 puertos de usuarios que tenían acceso a toda la información del SAT”.

Esta declaración de Buenrostro tiene dos pistas, así que vamos por partes.

3.1. Un puerto de acceso es una vía de entrada a un repositorio de información. Los servidores del SAT tenían —porque suponemos que ya están deshabilitados— 35,000 perforaciones realizadas de manera profesional. Insisto: no hablamos de un hackeo ni de una vulneración cibernética, sino de una vulneración autorizada, permitida.

3.2. Buenrostro aseguró que los puertos daban acceso a “toda la información del SAT”. Esto significa que, sólo en materia de información personal, los invitados al festín de datos tuvieron acceso a la contraseña y los archivos de la firma electrónica (e.firma), al Registro Federal de Contribuyentes, al domicilio del contribuyente, a su correo electrónico, a sus declaraciones fiscales, a sus solicitudes de devolución de impuestos, a sus registros de compraventa de bienes y servicios, a sus datos biométricos, esos que son únicos e insustituibles.

4. “¿Quién tiene la información? La tenía un montón de gente que ni siquiera sabemos quiénes son. Por lo menos 40,000 personas que quién sabe quiénes sean, para quién trabajen. A algunas las tenemos identificadas, a otras no”.

¿Se imagina la capacidad para hacer daño, cometer fraudes y usurpar identidades que tienen las personas con acceso a esos datos?

5. “Así que, ¿quién tiene la información del SAT? Hasta ahora casi 40,000 personas, pero seguramente no son los únicos”.

Plop.

Si usted está en el Registro Federal de Contribuyentes, tenga por seguro que ha sido afectado. Denuncie al SAT por el mal uso de sus datos personales. Pida informes al Inai al teléfono 800 835 43 24.

Yo estoy que no me lo creo. Que no quiero creerlo. Porque de ser cierto, es una pesadilla.

Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.

Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.

Comentarios

economicon