Inai alerta de posible robo de datos personales tras “hackeo” a Función Pública

La Secretaría de la Función Pública notificó al Inai, la oficina de protección de datos personales de México, que fue víctima de un ataque cibernético, cuyos responsables estuvieron en condiciones de hacer una copia de datos personales confidenciales de funcionarios públicos. Este incidente de seguridad incumplió la ley y Función Pública debe sancionar a los responsables.

La Secretaría de la Función Pública fue víctima de un hackeo a una base de datos que contenía información privada y confidencial de funcionarios públicos. La información privada vulnerada fue proporcionada por los funcionarios como parte de sus declaraciones patrimoniales de 2020. El o los supuestos atacantes pudieron realizar una copia de los datos personales de los servidores públicos, provocando una “vulneración de seguridad que afecta de forma significativa los derechos patrimoniales de los titulares”, se lee en la resolución de una investigación realizada por el Inai a Función Pública tras conocerse del incidente de seguridad.

Esta resolución confirma que Función Pública sufrió un incidente de seguridad de la información entre mayo y junio de 2020 que dejó expuestos datos personales confidenciales, lo que representó el incumplimiento de las fracciones III, IV, VII y VIII del artículo 163 de la ley general de protección de datos personales, todas las cuales prevén sanciones.

En la base de datos vulnerada, cita el Inai en la resolución INAI.3S.07.01.005/2020, “se observan datos que por su naturaleza son confidenciales como lo son: escolaridad, experiencia laboral, ingresos, bienes inmuebles, vehículos, bienes muebles, inversiones, adeudos, préstamo o comodato, participación, representaciones y fideicomisos de conformidad con el artículo 113, fracción I de la Ley Federal de Transparencia y Acceso a la Información Pública”.

Esta resolución, adoptada por unanimidad del pleno del Inai, también modifica la versión inicial de la secretaría, que en una nota de prensa calificó el incidente como “una forma alternativa de acceso a datos públicos”. En su argumentación durante el proceso de investigación iniciado en su contra, Función Pública señaló que “agentes externos” detectaron una vulnerabilidad en la configuración de una base de datos administrada por la secretaría, que posibilitó la realización de “un ataque técnico en el que se accedió a los índices de la base de datos, pudiéndose haberse realizado una copia de la información y se introdujo un aviso de extorsión”.

El Economista reveló el 4 de julio pasado que entre el 6 de mayo y el 30 de junio de 2020 estuvo disponible en internet, sin necesidad de ingresar contraseñas ni otras medidas de seguridad, una base de datos con información privada confidencial de 830,000 funcionarios públicos federales contenida en sus declaraciones patrimoniales. En su momento, el analista de ciberseguridad Bob Diachenko, quien alertó de la existencia de la exposición de la base de datos, consideró que el incidente era consecuencia de “una mala configuración de seguridad”.

Luego de conocerse el incidente de seguridad, el Inai, la oficina de protección de datos personales de México, inició una investigación para confirmar la vulneración y, en su caso, determinar la gravedad y ordenar la imposición de sanciones. El pleno del Inai determinó, el 24 de noviembre, que Función Pública había fallado en sus deberes de confidencialidad y seguridad y en cinco de los ocho principios enunciados en la ley: los de consentimiento, responsabilidad, información, licitud y lealtad.

La resolución adoptada por el Inai contra Función Pública señala que personal de esa secretaría es responsable de las conductas descritas en las fracciones III, IV, VII y VIII del artículo 163 de la ley de protección de datos en posesión del gobierno:

Fracción III: Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión.

Fracción IV: Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos.

Fracción VII: Incumplir el deber de confidencialidad establecido en el artículo 42 de la ley (que todos los involucrados en el tratamiento de datos personales guarden confidencialidad de la información privada a la que tienen acceso).

Fracción VIII: No establecer las medidas de seguridad en los términos que establecen los artículos 31, 32 y 33 de la ley en la materia.

“Al momento del incidente de seguridad (...) la única unidad administrativa que tenía acceso a dicho sistema (vulnerado) era la Dirección General de Tecnologías de Información”, informó Función Pública al Inai. La Dirección TIC tuvo dos titulares durante el tiempo que duró la vulneración documentado por El Economista. Primero, Luis Gutiérrez Reyes, quien el 1 de junio fue ascendido a subsecretario y, cuatro meses después, dejó la secretaría para encabezar el Instituto de los Mexicanos en el Exterior, dependiente de la Cancillería. Y, segundo, Armando Andrade Díaz, quien sólo duró dos meses con el puesto: el 1 de agosto fue sustituido por Rolando Menchaca Méndez.

En lo que va de la Administración de Andrés Manuel López Obrador, la Dirección TIC de Función Pública ha sufrido un recorte presupuestal de 41% como parte de la política general de austeridad en el gobierno federal. Para el primer año completo de administración (2019), la Dirección TIC operó con 46 millones de pesos; para 2020, el presupuesto asignado fue de 27 millones. Con ese dinero, esta oficina debe “dirigir y administrar los recursos de tecnologías de información de la Secretaría de la Función Pública”, como son el software (los programas de cómputo) y el hardware (los equipos de cómputo).

La Dirección TIC de la Función Pública está integrada por 56 personas y suma un costo operativo de nómina de 28.5 millones de pesos anuales. El cargo de director general tiene asignado un monto salarial bruto de 136,745 pesos al mes. El presupuesto para el pago de nómina sale de una partida diferente a la del presupuesto de la propia Dirección TIC.

En una entrevista de julio pasado, para comentar sobre el incidente de seguridad en Función Pública, el comisionado presidente del Inai, Francisco Javier Acuña Llamas, afirmó que la reducción de presupuestos operativos en las oficinas del gobierno federal puede incidir en vulneraciones de seguridad que dejen expuestos datos personales e información confidencial. “Por eso lo dije, como una deducción, eso sí, de que ese tipo de ajustes presupuestales a la inversión —yo no digo gasto— en tecnologías de la información sí puede generar que haya fallas en los dispositivos telemáticos o de tecnologías de la información”, dijo.