Habeasdata org.cl

Esta fue la notiica: “Datos personales de seis millones de chilenos quedaron públicamente disponibles en internet durante la madrugada y mañana de ayer, luego que fueran sustraídos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red…”. ¿Habrá sido cierto?.

Por ahora, transcribo los primeros antecedentes…

http://diario.elmercurio.com/2008/05/11/nacional/nacional/noticias/0F85CC8B-2085-468B-BC5D-1AEA14AB5A18.htm?id={0F85CC8B-2085-468B-BC5D-1AEA14AB5A18}

http://diario.elmercurio.com/2008/05/11/nacional/nacional/noticias/407E4884-3A38-4A17-8F90-A33FA748B19D.htm?id={407E4884-3A38-4A17-8F90-A33FA748B19D}

Domingo 11 de mayo de 2008Información apareció ayer en foro de sitio web dedicado a la tecnología: Cibercrimen investiga filtración de bases de datos personales de seis millones de chilenos. Un “hacker” publicó archivos con información sustraída de los servidores de instituciones públicas y privadas. Entre ella, datos del Servel, Mineduc y compañías telefónicas.

Datos personales de seis millones de chilenos quedaron públicamente disponibles en internet durante la madrugada y mañana de ayer, luego que fueran sustraídos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red.

Se trata de registros de nombres de personas, números de RUT, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social obtenida desde la Dirección General de Movilización Nacional (DGMN), el Servicio Electoral (Servel), el Ministerio de Educación (Mineduc), el sitio PSU 2005 y registros telefónicos.

La alerta la dio el sitio FayerWayer, un visitado blog chileno dedicado a temas tecnológicos, que recibió los datos en uno de sus foros la madrugada del sábado (ver nota relacionada).

De inmediato los administradores del sitio dieron cuenta a la Brigada del Cibercrimen de

la Policía de Investigaciones, que realizó las primeras diligencias durante el día de ayer.”De ser cierto, se trataría de un hecho grave. Por ello, se investiga la veracidad de la información”, explicó ayer el comisario Jaime Jara, quien aseguró que se enviará un oficio a la Fiscalía Metropolitana Centro Norte.La información también fue publicada por la página elantro.cl, donde un usuario dejó disponibles los links de la página donde están almacenados los archivos. Se trata de un servidor internacional de alojamiento de datos. Luego de dos horas, el administrador de la página también borró los links, pero los datos siguen en internet.

“El Mercurio” accedió a la documentación, entre la que se pudo constatar un instructivo para que los usuarios hagan uso de la información.

En el archivo “readme.txt”, el autor de la filtración explica que la idea es “mostrar lo mal protegidos que están los datos en Chile”. A renglón seguido, dice que “ya que nadie se esmera en proteger esta información, hacerla pública para todo el mundo”.

Luego, hace una descripción de los datos y la cantidad de registros de cada institución.

En el caso del Mineduc hay registros de los pases escolares e información de inscripción de la prueba PSU 2005. También hay un listado de números telefónicos equivalente a una guía comercial y residencial de toda la Región Metropolitana (2 millones de personas).

Incluso, el autor del texto dice que con los datos se puede generar un mapa virtual con Google Earth o Google Maps, donde se pueda ver gráficamente un mapa de dónde vive cada persona. Añade que con los folios del pase escolar y según los datos de la tarjeta Bip se podrían mostrar los recorridos de esa persona.

El “hacker” recomienda descubrir datos “freak”: “La hija de Bachelet tiene pase escolar, aun cuando a mucha gente no se lo dan porque sus padres ganan más de una cierta cantidad”.

Administrador de sitio web relata cómo descubrió la información. José Ignacio Stark, uno de los administradores del blog www.fayerwayer.com relató a “El Mercurio” cómo apareció la información en uno de los foros de su sitio y las medidas que adoptó al descubrir la magnitud de los datos que se estaban divulgando.

“La información apareció a eso de las 1:30 de la madrugada del sábado en un comentario y dos topics de los foros de FayerWayer. Es decir, el autor de esto creó dos temas en el foro de nuestra página”, explicó.

El informático explica que cuando vieron los links, descargaron la información y se dieron cuenta de qué se trataba.

“Inmediatamente, el comentario fue borrado y a la hora siguiente los temas fueron borrados. Sin embargo, aprovechándose de que Google indexó la página (la almacenó y la dejó disponible), hubo gente que tuvo acceso a los archivos de todas maneras”, dice Stark.

Los administradores dieron cuenta inmediata a la Brigada del Cibercrimen de

la Policía de Investigaciones a través de un correo electrónico. Le enviaron copias originales de los mensajes agregados a la página.Pero no contaban con que, durante la mañana de ayer, otra persona, que se deberá determinar si es la misma, creó una cuenta y se registró en la comunidad elantro.cl bajo un nickname. Ya como usuario de dicha página,subió los links que llevaban directo a los archivos con las bases de datos. Esto ocurrió a las 11:20 de la mañana. Dos horas más tarde, el administrador del sitio mantuvo el mensaje pero suprimió los links.Ambos sitios fueron contactados durante el día de ayer por efectivos del Cibercrimen, quienes se encuentran analizando los antecedentes sobre los mensajes y ubicación de los archivos. Stark espera que esto se resuelva a la brevedad. “Aquí se tienen que hacer las revisiones internas en las entidades públicas. Es un asunto muy grave”, concluyó.

Renato Jijena, experto en protección de datos: “Acceder sin autorización a un servidor es delito” Con todo, dice que la ley chilena tiene tantos vacíos que parece “un colador”.

“Legalmente, estos datos no son sensibles, no son secretos, no son privados; no es delito”, observa Renato Jijena Leiva, abogado que se ha dedicado por años al tema de la protección de las bases de datos.

Es que gran parte de la información que robó el hacker realmente es pública. Así lo ratifica Mr Trukit0 en el foro de FayerWayer: “Busqué mis datos en dichos archivos y efectivamente aparece mi RUT, nombre completo, fecha de nacimiento, dirección, número de teléfono y e-mail. Por mi parte, poco me interesa que alguien tenga esos datos, ya que por mi trabajo la mayoría son de carácter público, lo único que lograrían sería llenarme de spam (correos, llamadas al celular y cartas)”.

En Chile, el Servicio Electoral vende desde hace años y en $14 millones la base de datos de los chilenos inscritos. “Lo que te dan es nombre, RUT, domicilio, actualizadísimo. Y la puedes comprar por ciudades… Lo que no te pueden dar es la filiación política. Eso es delito administrativo”, observa Jijena.

Para el abogado, el problema está en la ley chilena de protección de datos personales, la 19.628, de agosto de 1999, que es “una mala copia de una ley española”.

-El hacker no está comercializando los datos; sólo declara que, como nadie los protege, los hará públicos.”Eso no lo exculpa de la responsabilidad penal. El mero hecho de acceder sin autorización a un servidor ya es delito informático. Si un alumno se mete al servidor de la universidad la noche del domingo para ver las notas que tuvo en Cálculo, por el solo hecho de mirarlas, puede ser condenado a entre tres y cinco años de prisión”.

Otro asunto es la eventual responsabilidad de los servicios públicos. “Tienen la obligación de ser diligentes. Tienen una responsabilidad administrativa, por el resguardo de la información. También existe una responsabilidad eventualmente civil. Si se produce un perjuicio por la filtración de esta información, también tienen que indemnizar. La penal sería para el individuo que comete la conducta indebida”.

El problema de fondo es que la ley chilena establece que estos datos son públicos.

“Si la ley chilena contara con un ente dedicado a prevenir y solucionar este tipo de prácticas; si decidiera que estos datos, que no son ‘sensibles’, sí son relevantes y no son de acceso público; si estableciera como delito el acceso indebido a información personal, estaríamos bastante mejor parados”, comenta.

Jijena propone para Chile una entidad como la Agencia de Protección de Datos española (www.agpd.es), un ente público e independiente que vela por el cumplimiento de la ley sobre resguardo de datos.

“Claramente, con una legislación así, es tal la ambigüedad de la ley, son tales los forados que tiene, que es un verdadero colador”, sostiene el experto.

El precedente de Gran Bretaña

Ni los países más avanzados se salvan de que los datos personales de sus ciudadanos sean vulnerados. En enero, el Ministerio de Defensa de Gran Bretaña sufrió el robo de un computador que tenía información de 600 mil personas que eran consideradas potenciales reclutas para la Armada y

la Fuerza Aérea británicas.La conmoción por este caso y por un incidente previo en noviembre de 2007, en que el organismo encargado de recibir los impuestos y pagar beneficios a las familias con hijos perdió dos discos con datos de 25 millones de británicos, llevó a que el Premier Gordon Brown pidiera una investigación sobre la seguridad de la información en los organismos públicos de Gran Bretaña. Entre las medidas propuestas por el grupo que desarrolló dicho reporte se encuentra el que los jefes de los servicios en los que ocurra algún tipo de pérdida de la información deberán hacerse directamente responsables.

This entry was posted on Sunday, May 11th, 2008 at 10:37 pm and is filed under delito informático, Derechos, Internet. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.