Ciudad de México.- Los datos personales de 1.6 millones de servidores públicos federales, que estaban bajo resguardo de la Secretaría de la Función Pública (SFP), fueron robados y expuestos en internet entre mayo y junio de 2020 porque la dependencia no tomó las medidas de seguridad adecuadas cuando, indebidamente, quiso utilizar esa información para crear una nueva base de datos. Esos datos formaban parte de los sistemas DeclaraNet y del sistema del Registro Único de Servidores Públicos (RUSP).
Con la información de esos sistemas, la SFP construyó el Sistema de Omisos y Extemporáneos (OMEXT), una nueva herramienta -aún en fase de prueba- que concentrará los datos de los empleados públicos que incumplan con su obligación de presentar su declaración patrimonial durante el mes de mayo de cada año. Sin embargo, al momento de generar la nueva base de datos para alimentar al OMEXT, un acceso quedó abierto al público y un intruso logró entrar para robarse la base de datos e intentar una extorsión a cambio de ellos con mensajes como “Tienes 7 días para contactarnos” y “Contáctanos o tu información será divulgada”. Gregorio González Nava, titular de la Dirección General de Transparencia y Gobierno Abierto de la SFP, explicó que “un agente externo, utilizando software especializado, detectó una IP pública (200.33.31.87) que respondía a peticiones del protocolo HTTP. Posteriormente utilizó conocimiento especializado acerca de la base de datos Elasticsearch para acceder a su contenido”. También argumentó que el acceso a dicha base de datos está restringido para que sólo la puedan usar los administradores y encargados del desarrollo del sistema.
Esta explicación forma parte de la respuesta que la SFP dio al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) durante los dos procedimientos que la Dirección General de Evaluación, Investigación y Verificación del Sector Público del instituto realizó al respecto, a finales de septiembre de 2020. Un procedimiento fue iniciado de oficio por el aviso que dio la SFP del incidente y otro, en respuesta a una denuncia presentada por uno de los servidores públicos afectados. La dependencia encabezada por Irma Eréndira Sandoval reconoció ante el INAI que, al momento del robo de información, no contaba con un plan de trabajo en materia de protección de datos personales. A la fecha, no se sabe si algún funcionario de la SFP fue sancionado por las irregularidades cometidas. La denuncia pública de este caso fue hecha en julio de 2020 en el periódico El Economista, el cual dio a conocer que un analista de seguridad, Bob Diachenko, fue quien encontró la base de datos de los empleados federales en el motor de búsqueda Shodan, por lo que el 30 de junio de 2020 dio aviso a la SFP.
De acuerdo con la investigación realizada por el INAI, además del nombre completo, el RFC, la CURP y el sexo, otros datos que fueron vulnerados fueron los de los bienes inmuebles de los declarantes (tipo de operación, valor, porcentaje de propiedad, superficie del terreno, superficie construida), de los vehículos (valor, tipo de operación, marca, modelo, año), de los bienes muebles (valor, tipo de bien, tipo de operación) de las inversiones (valor, tipo de operación) de los adeudos (valor, tipo de operación, tipo de adeudo, fecha de adquisición, monto original, otorgante del crédito), entre otros. Para el instituto, el incidente representó “una afectación significativa a derechos patrimoniales de los titulares”. Dictaminó que con la vulneración ocurrida se tuvo acceso y se pudo haber realizado la copia no autorizada de datos personales que permiten perfilar la situación económica de los titulares. Ante el INAI, González Nava quiso minimizar la vulneración, al afirmar que “los únicos datos personales vulnerados son el RFC, CURP y sexo”. Aseguró que con los nuevos formatos de declaraciones patrimoniales, que buscan dar mayor publicidad al patrimonio de los servidores públicos, el resto de información “que pudiera ser clasificada, se convierte en información pública”. Ante esos alegatos, el INAI consideró que “el hecho de que algunos datos contenidos en las declaraciones patrimoniales y de intereses de los servidores públicos se hagan del conocimiento de la sociedad por un tema de interés público, no interfiere con su naturaleza de dato personal, ni con el deber de confidencialidad”. Y agregó: “máxime que en la base de datos objeto de la vulneración de seguridad obraban datos personales del titular denunciante que no obran en ninguna fuente acceso público, sólo en los registros bajo resguardo de la propia dependencia”.
(Nota de Milenio)