15/09/2024

Mexico: Expuesta declaración patrimonial de 830,000 funcionarios públicos

AdminYpt 07/07/2020
fuga de datos

los datos pueden ser expuestos sin motivo alguno

Un incidente de seguridad de la información de la Secretaría de la Función Pública dejó a la vista de cualquiera parte de las declaraciones patrimoniales de 830,000 funcionarios públicos del gobierno federal (58% de los 1,427,193 servidores públicos en activo).

La información vulnerada, disponible en internet sin contraseñas ni otras medidas de seguridad, contenía datos personales considerados como “clasificados” por las autoridades de transparencia y forma parte de las declaraciones patrimoniales que los trabajadores de gobierno están obligados a presentar antes del 31 de julio de 2020.

Para la Secretaría de la Función Pública (SFP), el incidente se trató en realidad de “una forma alternativa de acceso a datos públicos”, de acuerdo con el equipo de comunicación social de la dependencia, consultado por El Economista sobre el caso.

Entre los datos personales expuestos era posible encontrar: ingresos netos de los declarantes; bienes inmuebles y vehículos declarados; inversiones, cuentas bancarias y otro tipo de valores declarados; adeudos, pasivos y créditos financieros vigentes, además de datos generales como números telefónicos, direcciones de domicilios particulares, CURP y RFC.

Todos estos datos son “clasificados” de acuerdo con la norma decimonovena del acuerdo del 23 de septiembre de 2019 de la Secretaría Ejecutiva del Sistema Nacional Anticorrupción, responsable del diseño de las declaraciones patrimoniales de los empleados del gobierno federal.

Sin embargo, para la SFP la información expuesta “es de naturaleza pública y forma parte de los trabajos de interconexión con la Plataforma Digital Nacional, los datos que contiene pueden consultarse en el sitio: https://servidorespublicos.gob.mx/”, añadió la nota de prensa.

“Se ha puesto en un gran peligro a todos esos funcionarios públicos, porque la información que estuvo disponible es la más susceptible para ser utilizada en el robo de identidad”, advirtió Issa Luna Pla, investigadora del Instituto de Investigaciones Jurídicas de la UNAM.

La base de datos estuvo expuesta por lo menos desde el 6 de mayo y hasta el 30 de junio de 2020 a través del motor de búsqueda en internet Shodan, que indexó los registros con el certificado de seguridad (SSL, Secure Sockets Layer) de funcionpublica.gob.mx el primer miércoles de mayo desde la dirección IP 200.33.31.87. “La vía alternativa de acceso ya se encuentra bloqueada y hemos reforzado las medidas de seguridad”, dijo la SFP.

Durante 56 días en línea y sin restricciones de acceso, la base de datos siguió recibiendo registros con la información patrimonial de los funcionarios públicos que ingresaban al sistema digital DeclaraNet, creado y administrado por la Secretaría de la Función Pública para cumplir con sus obligaciones de transparencia.

“Se trató de un incidente producido por una mala configuración de seguridad, como suele ocurrir con los clústeres de Elasticsearch”, me dijo el analista de seguridad Bob Diachenko. Elasticsearch es un método de configuración de bases de datos que permite trabajar desde múltiples nodos y con tareas diversas.

Diachenko fue quien encontró la base de datos en Shodan y alertó por correo electrónico al subsecretario Luis Gutiérrez Reyes, responsable de Combate a la Impunidad de la SFP, el 30 de junio. Tras la alerta, los técnicos de la Secretaría de la Función Pública cerraron la brecha de seguridad. Diachenko ha revelado otras vulneraciones de datos de ciudadanos mexicanos, como las de la consultora KPMG, la proveedora del Seguro Popular de Michoacán Hova Health, la librería Porrúa o la startup de contabilidad Enconta, de la familia de la reparadora de créditos Resuelve tu Deuda.

De acuerdo con los registros de accesos a la base de datos disponibles en Shodan, una o varias personas que accedieron a esa base de datos exigieron un rescate para evitar una mayor publicidad de la información vulnerada. Los intrusos dejaron mensajes como “Tienes 7 días para contactarnos” y “Contáctanos o tu información será divulgada” y dos correos electrónicos. “No se pagó ningún tipo de rescate”, afirmó la Secretaría en su nota de prensa.

Mas información

Mas informacion en el sitio web origen de la nota:http://www.eleconomista.com.mx/amp/politica/Funcion-Publica-expuso-la-declaracion-patrimonial-de-830000-funcionarios-publicos-20200704-0009.html

Autor / Redactor / Director

AdminYpt

See author's posts

Tags: , ,

Más historias

rusia moveit

El ha afectado a varias agencias estatales y federales de EEUU

Guido Rosales 23/06/2023
PROTOCOLOS

PROTOCOLO PARA LA IDENTIFICACIÓN, RECOLECCIÓN, PRESERVACIÓN, PROCESAMIENTO Y PRESENTACIÓN DE EVIDENCIA DIGITAL

Guido Rosales 19/04/2023
iagps

La Europol alerta de los peligros del uso que hacen los delincuentes de ChatGPT

Guido Rosales 30/03/2023

Te pueden interesar

PORTADA

WEBINAR: CONSULTORIAS DE SEGURIDAD Y AUDITORIAS

Guido Rosales 16/08/2024
hack banking

WEBINARIO: Marco de cumplimiento de CIBERSEGURIDAD – Banca Digital en Bolivia

Guido Rosales 29/07/2024
portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023