Noti_infosegura: El auge de la venta de datos personales a la alza

Crece el mercado negro de los datos personales en México

Por Fernando Anguiano

El interés, tanto de las empresas de ventas al menudeo como de grupos de la delincuencia organizada, ha detonado el mercado negro de la venta de datos personales. Con la asistencia de hackers, rastrear los datos personales para predecir comportamientos de consumo se ha convertido en la estrategia de las compañías que buscan mejorar sus ofertas comerciales. Lo mismo hacen los delincuentes para seleccionar a sus víctimas.

La venta de datos personales cada vez está más en auge, según se demostró en abril pasado durante la celebración de Mundo Hacker Day 2015, que reunió a más de 2 mil hackers y expertos en ciberseguridad de diferentes países del mundo. Los usuarios de Internet producen millones de datos en cada conexión, ya sea a través de teléfonos móviles, tabletas, PC o el incremento de dispositivos conectados.

Y lo que es aún peor: millones de usuarios publicitan innumerables detalles de su vida privada en las redes sociales, con lo que facilitan muchos datos personales en el registro de servicios, apps y promociones gratuitas, sin preocuparse por saber quién está detrás de esos servicios ni el uso que van a hacer de esos datos.

Los datos personales pueden ser hurtados hasta cuando realizas operaciones bancarias.

En México, datos personales de millones de ciudadanos, obtenidos a través de trámites diversos como la obtención de la credencial de elector, el registro vehicular y las licencias de conducir, entre otros, están a la venta al mejor postor, lo mismo en el barrio de Tepito en la Ciudad de México que por empresas formalmente establecidas.

Por aproximadamente 150 mil pesos, cualquier interesado puede adquirir un paquete con información que incluye desde el padrón electoral de todo el país, el registro de todos los vehículos (comerciales, de lujo, de transporte público y de colección), hasta… ¡la población carcelaria y los registros de todos los policías con fotografía, número de placa y lugar de adscripción!

De hecho, hay empresas que a eso se dedican. Datos personales y económicos de más de un millón de clientes de diversas instituciones financieras, son vendidos por la supuesta empresa Bases Segmentadas México. La base completa la ofrecen los ciberdelincuentes en 9 mil 500 pesos, con datos actualizados al mes de marzo de 2015, con nombres, dirección, teléfonos, sueldo, RFC, entre otros.

Ese desconocimiento de los usuarios por la seguridad de sus datos personales contrasta con el interés de las empresas para contar con herramientas que les permitan acceder a esa información tan valiosa para predecir comportamientos de compra o de toma de decisiones y poder personalizar las ofertas para cada consumidor.

Pero el riesgo es mayor cuando estos datos también son codiciados por los cibercriminales para poder ejecutar sus fraudes y estafas aprovechando un mejor conocimiento de los hábitos de sus víctimas. Sin contar aquéllos que los utilizan para delitos relacionados con la extorsión o el secuestro.

Pero no sólo la red significa un riesgo: la propia credencial de elector también lo es. Los datos personales de por lo menos 68.2 millones de mexicanos se encuentran en riesgo por la contratación de una empresa privada que elaborará las credenciales de elector durante los próximos cinco años, alertó Luis David Fernández Araya, director general de Talleres Gráficos de México.

El grueso de las actividades delictivas sigue realizándose en la denominada Deep web, la que presenta complicaciones a la hora de controlar la actividad de los delincuentes. Organizaciones como la NSA y otros servicios de inteligencia monitorizan el tráfico de la deep web y se contemplaría la posibilidad de realizar acciones contra estos servicios ocultos para intentar mitigar las actividades ilícitas, según explicó Antonio Ramos, experto en seguridad informática.

En Tepito, a la venta hasta registros de policías

Especialistas del Instituto Nacional de Ciencias Penales (Inacipe) y de la Universidad Autónoma Metropolitana (UAM) reconocieron que las bases de datos almacenadas por dependencias de los tres niveles de Gobierno no son ciento por ciento confiables, debido a la falta de controles estrictos en su manejo, lo que las hace vulnerables a robos, filtraciones y fugas de información.

La base de datos comercializada en Tepito contiene información actualizada al 2014, según se pudo comprobar. Consta de tres memorias externas, cada una de 160 GB (gigabytes), que se vende lo mismo a grupos del crimen organizado que a agentes policiacos que la utilizan para trabajar, pues sus corporaciones no tienen esa disponibilidad de datos confiables, según han documentado diversos medios impresos.

En Tepito se pueden adquirir datos personales.

El colmo es que la propia policía fomenta la venta ilegal de datos personales. “Cuando le comentamos al jefe de grupo que se estaba vendiendo, tuvimos que cooperarnos para comprarla, cada uno de nosotros puso 10 mil pesos, porque la verdad es que sí nos agiliza el trabajo”, reconoció un agente policíaco que la adquirió en el barrio de Tepito y que solicitó reservar su nombre.

Por ejemplo, explicó, uno de los archivos, denominado casetas Telmex, contiene los números de todas las casetas públicas de teléfonos del país, lo que les permite rastrear llamadas relacionadas con secuestros o extorsiones, un trámite que de hacerlo ante la compañía que presta el servicio le toma a los agentes por lo menos cinco días.

El agente reconoció que la base de datos también es adquirida por grupos delictivos que ubican de esta manera a sus blancos o víctimas, tanto para secuestros como para robo de vehículos, extorsiones e, incluso, para ubicar a los policías de determinadas plazas a fin de comprarlos u obligarlos mediante amenazas a brindarles protección.

Estas bases de datos también han hecho vulnerables a policías y sus familias.  “Aquí está la base de datos de las policías del país, con fotografía, número de placa, lugar donde están adscritos. Así, los delincuentes ya saben con quién llegar, a quién amenazar, pues cruzando con la lista del padrón con otros registros obtienen hasta sus domicilios y ubican a su familia para presionarlos”.

Otro de los archivos contiene la identificación de todo el parque vehicular del Servicio Público Federal, es decir, del transporte de carga, la identificación del camión, marca, modelo, número de placas y tipo de carga que transporta, desde electrodomésticos y abarrotes hasta material explosivo, y las rutas.

Esta información permite a los grupos dedicados al robo de transporte de carga ubicar a sus objetivos por tipo de mercancía, “porque ellos no trabajan a ciegas”, señala el diario El Informador en un artículo publicado en abril pasado.

“La base de datos también la utilizan los ladrones de vehículos. Ellos trabajan por pedido y si un cliente les solicita un auto clásico o de lujo con determinadas características, lo pueden ubicar con facilidad, ya que la información incluye no sólo el modelo, sino el nombre del propietario y su dirección, y así los ladrones van sobre seguro”.

En el mismo paquete de información se incluye otro archivo que contiene fotografías del parque vehicular y de la ubicación del número confidencial por el cual pueden ser ubicados como robados. Quien tiene acceso a esta información puede borrar los números y con esto hacer más difícil la identificación del automotor hurtado y su recuperación.

Consultado acerca de cómo se “filtra” y se vende esta información, el agente consideró que es a través de personal de las mismas dependencias “y ni siquiera tiene que ser un alto directivo o funcionario, simplemente quien tenga acceso y la pueda copiar y sacar”.

Entre otros archivos, la base de datos contiene además el registro de licencias de manejo con fotografías expedidas por los gobiernos locales; el de las concesiones otorgadas a los taxis con número de placa e identificación del conductor, así como el registro de la población carcelaria de todo el país y de los reos que han obtenido beneficios como la preliberación o salida anticipada.

Los datos personales son vendidos al por mayor en Tepito.

La base de datos sirve, incluso, de alerta para las organizaciones delictivas, pues incluye las órdenes de aprehensión concedidas a la Procuraduría General de la República (PGR), por lo que los delincuentes buscados por la dependencia están un paso adelante de las policías en este tema y evaden su captura.

Para Alberto Nava, especialista en delitos cibernéticos del Instituto Nacional de Ciencias Penales (Inacipe), las bases de datos de los ciudadanos en poder de instancias gubernamentales no son tan seguras como deberían serlo pues no hay disposiciones expresas sobre su resguardo, confidencialidad y manejo.

“Ya hemos tenido casos de venta de datos gubernamentales que han salido del país, como la comercialización de la lista nominal del IFE”, destacó en entrevista, por lo que consideró urgente tomar medidas para garantizar la protección de este cúmulo de información.

Empresa alemana elabora credenciales de elector

De hecho, el INE es una de las instituciones más vulnerables. Los datos personales de por lo menos 68.2 millones de mexicanos se encuentran en riesgo por la contratación de una empresa privada que elaborará las credenciales de elector durante los próximos cinco años, alertó Luis David Fernández Araya, director general de Talleres Gráficos de México.

En entrevista con el diario Excélsior, aseguró que esta decisión del Instituto Nacional Electoral (INE) vulnera la seguridad nacional, porque la firma alemana Giesecke y Devrient, que ganó la licitación, tiene que cruzar el Atlántico con información de ciudadanos para cumplir con el contrato, porque allá tiene sus equipos.

Explicó que en el país los únicos que cuentan con lo último en tecnología para evitar la falsificación son la Casa de Moneda, que depende del Banco de México, y Talleres Gráficos de México, ya que existe, entre otros, un software llamado Jura, que sólo pueden adquirir gobiernos adheridos a tratados internacionales sobre seguridad, y sirve para imprimir microtextos en billetes o documentos, que son imperceptibles al ojo humano.

Los talleres gráficos se encargan de imprimir boletas electorales y credenciales de elector.

“No es posible que un impresor pueda hacer un sobre y luego le des la responsabilidad de tener la base de datos personales de todos nosotros, ¿qué es lo que sucede?, pues nada más habrá que revisar las cifras de la delincuencia, porque cuántas veces han llamado a tu casa ofreciendo algún producto, en el mejor de los casos, sabiendo de antemano tu nombre, edad, dónde vives, etcétera”, cuestionó.

Según cita el diario, Fernández Araya lamentó que la entrega de datos personales de los mexicanos a empresas privadas sea una herencia de 12 años de administraciones panistas, pues recordó el caso de la firma estadunidense Choice Point, que en 2006 compró la base de datos del Padrón Electoral, que actualmente tiene más de 82 millones de registros, y después toda esta información podía ser adquirida en las calles de Tepito.

“Te garantizo que si enviamos a una persona a Tepito, nos trae la base de datos que quieras”, indicó.

Asimismo, criticó que el INE haya hecho una licitación internacional para adjudicar el contrato, porque es como darle todas las claves a la delincuencia del mundo sobre cómo falsificar la credencial de elector.

“Es como si yo le dijera al crimen organizado: ‘mira, voy a necesitar esto, esto y esto, cinco, 10, 20 o 50 candados de seguridad, requiero este material’, se me hace una ridiculez que un organismo público se ponga a contratar a una empresa privada mediante un proceso licitatorio”, subrayó.

La licitación de las credenciales de electora fue ganada por una empresa extranjera.

Por otra parte, reveló que Giesecke y Devrient ofrecieron menos candados de seguridad para la credencial de elector y a un costo superior al ofertado por Talleres Gráficos de México, y aun así ganaron la licitación. “La última experiencia que se tuvo con el INE fue que se cotizó más bajo, se dieron todas las garantías, se ofertaron 29 candados de seguridad, y pues no resultó, ganó la empresa privada de origen alemán con 25 candados y más caro, por ello estamos desconcertados”, manifestó.

En la entrevista a Excélsior, recordó que Talleres Gráficos de México fue creado en 1883 por decreto presidencial, antes de la Revolución Mexicana, como un organismo público descentralizado, con los más altos estándares de calidad y seguridad, “tan es así, que al ser el impresor oficial del gobierno federal, es parte del sector de seguridad nacional, al depender de la Secretaría de Gobernación”.

Señaló que, además, se cuenta con el apoyo del Ejército Mexicano y la Secretaría de Marina para el resguardo, por ejemplo, de la papelería electoral, cuando se imprimen las boletas que serán utilizadas en los comicios.

Agregó que Talleres Gráficos de México tiene la capacidad de hacer cinco millones de credenciales al mes, con 29 o 30 candados de seguridad, entre ellos, el control de iris, el control biométrico y la encriptación de datos, como las que se elaboran para las fuerzas armadas.

Datos personales, el nuevo tesoro del mercado global

Los datos personales se han convertido en el nuevo petróleo del siglo XXI, según se puso de manifiesto durante la celebración de MundoHacker Day 2015 que reunió a más de 2 mil hackers y expertos en ciberseguridad de diferentes países durante el pasado mes de abril en Madrid.

Durante las dos jornadas de Mundo Hacker Day abiertas a todo el público, los asistentes pudieron asistir a demostraciones, entre otros, de interceptación de dispositivos a través de redes wifi públicas, predicción de delitos o de conductas a través del análisis y rastreo de la información en Internet, inteligencia en código abierto o ataques Scada.

Los datos personas son la joya de la corona para los ciberdelincuentes.

Los expertos llegaron a la conclusión de que las empresas aún no se han dado cuenta de la necesidad imperiosa de proteger no solo los datos sino el tráfico que circula por sus redes y todos los equipos en movilidad de sus empleados y directivos, ya que el acceso no autorizado a toda esta información puede suponer una grave amenaza para la integridad de la compañía.

Aseguran que los riesgos principales de seguridad siguen dependiendo de la atención del usuario a la hora de conectarse a través de redes no seguras o de no utilizar herramientas de seguridad que le prevengan de ataques o amenazas.

“Al acceder a una red wifi estamos informando de muchas cosas: modelo de móvil, número de teléfono, ubicaciones recientes, historial de Internet… si la red es, además, un señuelo (honeypot), el delincuente puede usar esa información para robar claves o recabar información confidencial”, afirmó Yago Hansen, hacker especialistas en redes wifi.

“La preocupación por la seguridad en los activos empresariales es patente y se ha demostrado no sólo en la tremenda aceptación del público asistente a Mundo Hacker Day 2015 sino en otros encuentros similares como la Conferencia RSA celebrada el pasado mes de abril en EEUU y donde se ha puesto en valor el papel de las empresas españolas”, asegura Mónica Valle, periodista especializada en seguridad IT y presentadora del evento.

“El incremento en un 80% del número de asistentes al evento, unido al amplio seguimiento masivo en redes sociales y a través del streaming, confirman el interés por parte de los profesionales y del público general de contar con eventos formativos y divulgativos de calidad (ni excesivamente técnicos ni comerciales) como Mundo Hacker, afirma Víctor Aznar, responsable de MundoHacker Day 2015.

 

Fuente: http://formato7.com/2015/

Fecha de consulta: 19 Junio 2015