Habeasdata org.cl

Novedades sobre protección de datos personales en Chile y A.L. - info@habeasdataorg.cl / info@jijena.cl

¿Se produjo la filtración de bases de datos personales de seis millones de chilenos?

May 11th, 2008 | Category: Derechos, Internet, delito informático

Esta fue la notiica: “Datos personales de seis millones de chilenos quedaron públicamente disponibles en internet durante la madrugada y mañana de ayer, luego que fueran sustraídos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red…”. ¿Habrá sido cierto?.

Por ahora, transcribo los primeros antecedentes…

http://diario.elmercurio.com/2008/05/11/nacional/nacional/noticias/0F85CC8B-2085-468B-BC5D-1AEA14AB5A18.htm?id={0F85CC8B-2085-468B-BC5D-1AEA14AB5A18}

http://diario.elmercurio.com/2008/05/11/nacional/nacional/noticias/407E4884-3A38-4A17-8F90-A33FA748B19D.htm?id={407E4884-3A38-4A17-8F90-A33FA748B19D}

Domingo 11 de mayo de 2008Información apareció ayer en foro de sitio web dedicado a la tecnología: Cibercrimen investiga filtración de bases de datos personales de seis millones de chilenos. Un “hacker” publicó archivos con información sustraída de los servidores de instituciones públicas y privadas. Entre ella, datos del Servel, Mineduc y compañías telefónicas.

Datos personales de seis millones de chilenos quedaron públicamente disponibles en internet durante la madrugada y mañana de ayer, luego que fueran sustraídos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red.

Se trata de registros de nombres de personas, números de RUT, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social obtenida desde la Dirección General de Movilización Nacional (DGMN), el Servicio Electoral (Servel), el Ministerio de Educación (Mineduc), el sitio PSU 2005 y registros telefónicos.

La alerta la dio el sitio FayerWayer, un visitado blog chileno dedicado a temas tecnológicos, que recibió los datos en uno de sus foros la madrugada del sábado (ver nota relacionada).

De inmediato los administradores del sitio dieron cuenta a la Brigada del Cibercrimen de

la Policía de Investigaciones, que realizó las primeras diligencias durante el día de ayer.”De ser cierto, se trataría de un hecho grave. Por ello, se investiga la veracidad de la información”, explicó ayer el comisario Jaime Jara, quien aseguró que se enviará un oficio a la Fiscalía Metropolitana Centro Norte.La información también fue publicada por la página elantro.cl, donde un usuario dejó disponibles los links de la página donde están almacenados los archivos. Se trata de un servidor internacional de alojamiento de datos. Luego de dos horas, el administrador de la página también borró los links, pero los datos siguen en internet.

“El Mercurio” accedió a la documentación, entre la que se pudo constatar un instructivo para que los usuarios hagan uso de la información.

En el archivo “readme.txt”, el autor de la filtración explica que la idea es “mostrar lo mal protegidos que están los datos en Chile”. A renglón seguido, dice que “ya que nadie se esmera en proteger esta información, hacerla pública para todo el mundo”.

Luego, hace una descripción de los datos y la cantidad de registros de cada institución.

En el caso del Mineduc hay registros de los pases escolares e información de inscripción de la prueba PSU 2005. También hay un listado de números telefónicos equivalente a una guía comercial y residencial de toda la Región Metropolitana (2 millones de personas).

Incluso, el autor del texto dice que con los datos se puede generar un mapa virtual con Google Earth o Google Maps, donde se pueda ver gráficamente un mapa de dónde vive cada persona. Añade que con los folios del pase escolar y según los datos de la tarjeta Bip se podrían mostrar los recorridos de esa persona.

El “hacker” recomienda descubrir datos “freak”: “La hija de Bachelet tiene pase escolar, aun cuando a mucha gente no se lo dan porque sus padres ganan más de una cierta cantidad”.

Administrador de sitio web relata cómo descubrió la información. José Ignacio Stark, uno de los administradores del blog www.fayerwayer.com relató a “El Mercurio” cómo apareció la información en uno de los foros de su sitio y las medidas que adoptó al descubrir la magnitud de los datos que se estaban divulgando.

“La información apareció a eso de las 1:30 de la madrugada del sábado en un comentario y dos topics de los foros de FayerWayer. Es decir, el autor de esto creó dos temas en el foro de nuestra página”, explicó.

El informático explica que cuando vieron los links, descargaron la información y se dieron cuenta de qué se trataba.

“Inmediatamente, el comentario fue borrado y a la hora siguiente los temas fueron borrados. Sin embargo, aprovechándose de que Google indexó la página (la almacenó y la dejó disponible), hubo gente que tuvo acceso a los archivos de todas maneras”, dice Stark.

Los administradores dieron cuenta inmediata a la Brigada del Cibercrimen de

la Policía de Investigaciones a través de un correo electrónico. Le enviaron copias originales de los mensajes agregados a la página.Pero no contaban con que, durante la mañana de ayer, otra persona, que se deberá determinar si es la misma, creó una cuenta y se registró en la comunidad elantro.cl bajo un nickname. Ya como usuario de dicha página,subió los links que llevaban directo a los archivos con las bases de datos. Esto ocurrió a las 11:20 de la mañana. Dos horas más tarde, el administrador del sitio mantuvo el mensaje pero suprimió los links.Ambos sitios fueron contactados durante el día de ayer por efectivos del Cibercrimen, quienes se encuentran analizando los antecedentes sobre los mensajes y ubicación de los archivos. Stark espera que esto se resuelva a la brevedad. “Aquí se tienen que hacer las revisiones internas en las entidades públicas. Es un asunto muy grave”, concluyó.

Renato Jijena, experto en protección de datos: “Acceder sin autorización a un servidor es delito” Con todo, dice que la ley chilena tiene tantos vacíos que parece “un colador”.

“Legalmente, estos datos no son sensibles, no son secretos, no son privados; no es delito”, observa Renato Jijena Leiva, abogado que se ha dedicado por años al tema de la protección de las bases de datos.

Es que gran parte de la información que robó el hacker realmente es pública. Así lo ratifica Mr Trukit0 en el foro de FayerWayer: “Busqué mis datos en dichos archivos y efectivamente aparece mi RUT, nombre completo, fecha de nacimiento, dirección, número de teléfono y e-mail. Por mi parte, poco me interesa que alguien tenga esos datos, ya que por mi trabajo la mayoría son de carácter público, lo único que lograrían sería llenarme de spam (correos, llamadas al celular y cartas)”.

En Chile, el Servicio Electoral vende desde hace años y en $14 millones la base de datos de los chilenos inscritos. “Lo que te dan es nombre, RUT, domicilio, actualizadísimo. Y la puedes comprar por ciudades… Lo que no te pueden dar es la filiación política. Eso es delito administrativo”, observa Jijena.

Para el abogado, el problema está en la ley chilena de protección de datos personales, la 19.628, de agosto de 1999, que es “una mala copia de una ley española”.

-El hacker no está comercializando los datos; sólo declara que, como nadie los protege, los hará públicos.”Eso no lo exculpa de la responsabilidad penal. El mero hecho de acceder sin autorización a un servidor ya es delito informático. Si un alumno se mete al servidor de la universidad la noche del domingo para ver las notas que tuvo en Cálculo, por el solo hecho de mirarlas, puede ser condenado a entre tres y cinco años de prisión”.

Otro asunto es la eventual responsabilidad de los servicios públicos. “Tienen la obligación de ser diligentes. Tienen una responsabilidad administrativa, por el resguardo de la información. También existe una responsabilidad eventualmente civil. Si se produce un perjuicio por la filtración de esta información, también tienen que indemnizar. La penal sería para el individuo que comete la conducta indebida”.

El problema de fondo es que la ley chilena establece que estos datos son públicos.

“Si la ley chilena contara con un ente dedicado a prevenir y solucionar este tipo de prácticas; si decidiera que estos datos, que no son ’sensibles’, sí son relevantes y no son de acceso público; si estableciera como delito el acceso indebido a información personal, estaríamos bastante mejor parados”, comenta.

Jijena propone para Chile una entidad como la Agencia de Protección de Datos española (www.agpd.es), un ente público e independiente que vela por el cumplimiento de la ley sobre resguardo de datos.

“Claramente, con una legislación así, es tal la ambigüedad de la ley, son tales los forados que tiene, que es un verdadero colador”, sostiene el experto.

El precedente de Gran Bretaña

Ni los países más avanzados se salvan de que los datos personales de sus ciudadanos sean vulnerados. En enero, el Ministerio de Defensa de Gran Bretaña sufrió el robo de un computador que tenía información de 600 mil personas que eran consideradas potenciales reclutas para la Armada y

la Fuerza Aérea británicas.La conmoción por este caso y por un incidente previo en noviembre de 2007, en que el organismo encargado de recibir los impuestos y pagar beneficios a las familias con hijos perdió dos discos con datos de 25 millones de británicos, llevó a que el Premier Gordon Brown pidiera una investigación sobre la seguridad de la información en los organismos públicos de Gran Bretaña. Entre las medidas propuestas por el grupo que desarrolló dicho reporte se encuentra el que los jefes de los servicios en los que ocurra algún tipo de pérdida de la información deberán hacerse directamente responsables.

23 Comments so far

  1. Tamara May 12th, 2008 8:48 am

    No se si habrá sido cierto, pero al menos la noticia ha hecho bastante ruido. Yo la escuché esta mañana y la postié en el blog del curso (antes de ver el mail ¡burp!). Debo decir que notable encuentro las “razones” del supuesto hacker:

    “En el archivo “readme.txt”, el autor de la filtración explica que la idea es “mostrar lo mal protegidos que están los datos en Chile”. A renglón seguido, dice que “ya que nadie se esmera en proteger esta información, hacerla pública para todo el mundo”.

    No digo que lo justifico, pero quizas es lo que falta para que se pueda hacer algo a nivel gubernamental. Solo espero que si esto fue verdad, durante el tiempo en que estos datos estuvieron al alcance de cualquier cibernauta, nadie los haya tomado para hacer un mal uso de ellos. Deberiamos invitar al “hacker” a nuestras futuras clases xD!

  2. Tamara May 12th, 2008 9:13 am

    Tambien hay polemica sobre sitos como Facebook o my Space, respecto de como se manejan los datos personales.
    Les dejo una noticia, aunque es antigua:

    http://ligasmayores.bcn.cl/content/view/95637/Facebook_efecto_boomerang_ojo_donde_dejamos_informaci_n_personal.html

    Se que hay cosas mas recientes, pero no pude encontrarlas, respecto este mismo tema. Ojala algun compañero (a) encuentre algo mejor :P

  3. camila May 12th, 2008 11:49 am

    Bueno en mi opinión esto tarde o temprano se iba a pasar, ósea por un lado hasta me alegro porque la verdad que esta es la única manera posible de que las autoridades hagan algo de verdad por tratar de resguardar la información de lo chilenos. Respecto al tema de que los datos son de carácter publico, es decir, datos que podríamos encontrar en una guía telefónica, etc. Yo sigo sosteniendo que por muy sencilla que sean los datos, en mentes creativas puede ser un peligro o por ultimo es simple hecho de recibir correspondiente no deseada es una molestia. Respecto de la pregunta del profesor, si es que fueron robadas o extraídas, yo creo que en el fondo da lo mismo, porque como sea demuestra que los datos personales de todos los chilenos no están siendo lo suficientemente resguardados. Respecto a buscar los responsables…. bueno. Y respecto de que las personas afectadas hagan ago al respecto ójala sea así y se informen, porque por ejemplo mi mama ayer me comentaba que ella no tendría idea que mediadas adoptar siquiera sabia que existía una ley y yo creo que es el caso de muchos chilenos.

  4. MANOLO May 12th, 2008 12:07 pm

    Concuerdo con mi compañera en que el hacker me parece notable….”todo lo que no es entonces es” o sea como no son datos sensibles y no están protegidos por nuestra escualida, pauperrima, debil y burguesa legislación que protege como siempre los intereses de los poderosos (porque el derecho claramente es resultado de las fuerzas económicas, nada y absolutamente nada más) entonces son públicos.

    Por supuesto que resulta sumamente increíble como los vacíos de la ley quedan al total descubierto por el movimiento de un hacker…. ojala al diputado Tuma le cruzen datos, le hagan un perfil (errado o doloso como puede suceder) de que es moroso o ladrón y nunca más le presten plata en ninguna parte, porque finalmente la discusión de fondo sigue siendo la creación de perfiles que negligente o dolosamente esten rotundamente fuera de la realidad y por lo tanto un grave perjuicio se pueda generar para la victima de tal error.-

  5. catalina May 12th, 2008 1:59 pm

    me resulta increible la falta de proteccionh que tienen los datos personales..lo que hizo el hacker solo deja al descubierto las grandes falencias que sufre el sistema para proteger esta informacion..(si es que existe)
    Ademas con los vacios de nuestra legislacion actual parece que aqui no hay ningun robo de los datos porque eston no estan protegidos, son publicos..
    parece que las autoridades solo ponen un gran enfasis en el delito que cometio el hacker..olvidandose de su responsabilidad por la falta de una proteccion adecuada de la informacion que ellos tienen..
    que esten circulando esto datos no me parece tan grave..me parece aun PEOR que no existan medidas para evitar una situacion asi..y lamentablemente parece que las autoridades administrativas y los legisladores no estan interesados en solucionarlo de manera permanente (con la dictacion de una ley eficiente) sino solo de manera superficial.

    como lo hace por ejemplo el ministro Vidal http://www.latercera.cl/contenido/25_11795_9.shtml
    http://www.lun.com en la pagina 4

  6. catalina May 12th, 2008 2:02 pm

    ahhh lei el link que dejo tamara sobre Facebook..impacta la desproteccion..parece que debemos tener mucho mas cuidado con los datos que damos y el lugar en que los dejamos

  7. Marlenne May 12th, 2008 6:21 pm

    Es sorprendente que en el transcurso de las horas, poco a poco se vaya desestimando la gravedad de la situación.
    En un principio, se decía que se había hackeado las bases de datos del Registro Civil, Ministerio de Educación, Servicio Electoral, constituyendo un delito informático. Ahora, se ha dicho que no existido tal “hackeo”, por lo que no se configuraría este delito… pero entonces, ¿quien vela por los afectados directamente, es decir, los 6 millones de chilenos que han visto cómo se divulgan sus datos por la red, después de haber estado los datos por una hora en línea a disposición de cualquiera que quisiese hacer uso de ellos?.
    La situación es inaudita, de seguro en otras legislaciones las medidas a tomar serían mucho más estrictas.
    Este hecho, sólo nos demuestra que falta mucho por legislar en este tema.

  8. catalina May 12th, 2008 11:04 pm

    http://www.lun.com del 13 de mayo pagina 6
    entrevista que le hicieron a Carlos Reusser, coordinador academico del Centro de Derecho informatico de la U. de Chile, relacionada con la filtracion de datos personales recientemente ocurrida.
    Tambien critica la mala legislacion qu existe en nuestro pais respecto de este tema.

  9. catalina May 13th, 2008 5:02 am

    esto dejo al descubierto que en nuestro pais no se tiene interes en invertir en seguridad informatica ni en legislar para proteger los datos personales.
    en la prensa el caso ha tenido harta repercución …pero por lo visto solo se ha tratado de manera superficial por las autoridades, casi sin mencionar las falencias de nuestra legislacion actual.
    http://www.terra.cl/tecnologia/index.cfm?id_cat=415&accion=internet&id_reg=968882

  10. Katherine Loncón May 15th, 2008 7:46 pm

    Aunque sea difícil de aceptar, el hacker tiene toda la razón al decir que los datos que consideramos personales y delicados carecen de protección, y lo más grave es que tal desprotección de datos justifica plenamente el hecho que el hacker los haya publicado, sin que aparentemente acarree sanción alguna… plop!
    Así queda demostrado que no existe una real preocupación para resguardar los datos sensibles de los chilenos… y sumado a la indefensión en que nos deja la ley 19.628, genera una situación de enorme incertidumbre y desconfianza.
    Me molestó que el gobierno en cierto sentido desatendiera y diera bajo perfil a la situación…esa fue la sensación que me dejó la presidenta Bachelet en una declaración de prensa cuando dijo que nuestros datos personales se encuentran en estricta reserva y completo cuidado (¿?)… pero evidentemente tal afirmación no es tal…

  11. juan antonio May 17th, 2008 9:12 pm

    Me parece muy bien la provocación del hacker de burlar las pseudo barreras que protegen nuestra información intima…. y espero que sigan produciéndose este tipo burlas, para que de esta manera las autoridades tomen consciencia de lo importante que es el tema…por lo menos con la actitud del hacker se colocó el tema en la agenda pública.Con respecto a la opinión de la presidenta a que hace mención mi compañera yo creo que ella simplemente ignora el tema por eso tuvo esa opinión.

  12. renato May 18th, 2008 1:10 am

    Super interesantes sus comentarios. Los revisaré uno por uno. Estaba esperando se decantara el tema. El discurso oficial dice que en definitiva no hubo “hackeo” o acceso no autorizado; pero en este site de seguridad (http://www.seguridad-informatica.cl/home/sitios-del-estado-perimiten-la-fuga-de-informacion-de-ciudadanos-chilenos) se dice lo contrario, e incluso, que el tema de la fuga de datos se conocía desde Agosto del año 2007… ¿?

  13. renato May 19th, 2008 5:09 am

    Tamara: “…la noticia ha hecho bastante ruido”: efectivamente; “la idea es “mostrar lo mal protegidos que están los datos en Chile”; como idea era buena; ” es lo que falta para que se pueda hacer algo a nivel gubernamental”: …por lo menos las declaraciones públicas dieron esa impresión, veremos; “deberiamos invitar al “hacker” a nuestras futuras clases”: …cuando veamos los delitos informáticos quizás lo sorprenda !

  14. renato May 19th, 2008 11:04 pm

    “…polemica sobre sitos como Facebook o my Space, respecto de como se manejan los datos personales”: …y tremenda polémica. El tema lo veremos el segundo semestre, a propósito de la privacidad on line. Desde ya: ..la cláusula de privacidad o de no privacidad de facebook es de antología!!!!

  15. renato May 19th, 2008 11:11 pm

    Hey Camila: sobre “la verdad que esta es la única manera posible de que las autoridades hagan algo de verdad por tratar de resguardar la información de lo chilenos”…., pues mira como la cosa o el interés solo duró dos días. Rezo porque se reactive el tema desde el Gobierno… :(

  16. renato May 19th, 2008 11:25 pm

    Manolo: …eres directo y asertivo; bienvenido eso; efectivamente, comparto que el derecho es el resultado de las fuerzas económicas, que son las que hiceron el lobby de la ley 19.628, y además, efectivamente el problema relevante es la fidelización y la “minería” de datos para la creación de perfiles…, misma que en Chile puede hacerse libremente y a espaldas de los titulares de los datos.

  17. Renato Jijena Leiva May 22nd, 2008 7:18 pm

    Camila: …ten presente el tema facebook; es casi diabólico :) . Y sobre esto, “…parece que las autoridades solo ponen un gran enfasis en el delito que cometio el hacker..olvidandose de su responsabilidad por la falta de una proteccion adecuada de la informacion que ellos tienen”, …pues es música celestial para mis oídos. No todos los servicios si; a mi me tocó hacer la política de privacidad del SII….

  18. Carla Quijada May 22nd, 2008 7:43 pm

    Si bien este tipo de noticias aun cuando, sean exageraciones o claramente versiones bastante distorcionadas de la realidad, son importantes para crear conciencia dentro de la cuidadanía del problema existente respecto a la protección de datos personales.
    Ahora, es contraproducente pensar que es positivo que el legislador se ponga las pilas y haga su trabajo en base a una contingencia, ya paso una vez con el primer intento de ley y fue un desastre. Si miran las actas, el mensaje es casi poético, pero cuando se va desarrolando da hasta verguenza.
    Es muy facil mal asesorarse o perder el rumbo en el camino si no se maneja bien el tema.
    Ahora el problema actual con este tema, es harto más grave que la cuidadanía no tome conciencia, por una parte no va a pasar nada mientras no se entienda el problema, y esto parte por el mismo legislador, no se comprende el problema, y todavía no esta claro cual es el bien jurídico a proteger.

  19. Carla Quijada May 22nd, 2008 7:51 pm

    Por ejemplo el diputado Jorge Burgos ha señalado que el problema con la ley 19628 es el desuso, y para el diputado Ceroni es la poca regulación según la veracidad de los datos… (sin comentarios).
    Y tanto el como el diputado Guillermo Ceroni quieren particpan en la Comisión que esta a cargo de la creación del Consejo de Transparencia que tiene relación con la Administración del Estado, consideraban que con esa ley se le podría entregar un mandato genérico al Consejo cuando se tratase de afectaciones a la ley 19628 en el ámnito público, cuando ambas leyes si bien se entrelazan en su fondo no tienen ninguna relación.

    Si bien quien tiene un poco más clara la película es el Senador Jovino Novoa, (o sea también ha opinado que se debe proteger el dato en cuanto a dato), pero su proyecto de ley es digno de análisis. Ahora personalmente considero que la respuesta no esta en proteger la dirección de correo eléctronico como dato sensible, puesto que si ese fuese el criterio, debería serlo el RUT o la dirección. Tuve la posibilidad que me lo explicara y era un criterio absolutamente funcional, “para poder protegrlo”, pero si esa es la única razón, sería mantener desprotegidos los datos personales. Y es Ahí donde corresponde una reforma, que protega desde los datos personles en adelante, y si eso se logra no habría necesidad de elevar el rango del dato sensible

  20. Renato Jijena Leiva May 22nd, 2008 8:58 pm

    Saludos Marlenne: …dices, con reflexión, que “…la situación es inaudita, de seguro en otras legislaciones las medidas a tomar serían mucho más estrictas”. ¿Te animas a revisar, por ejemplo la de Argentina, la de España o la de Francia?; será parte importante del trabajo de evaluación….

    Les agrego un dato: el 2007 se avisó que se podía consultar la data; el 2008, alguien la junto y la puso a disposición; miren acá:

    http://www.fayerwayer.com/2008/05/gobierno-comienza-investigacion-de-filtracion-de-datos-personales-de-6-millones-de-chilenos/ ,

    ….donde dice que “…Hace harto rato que en el antro aparecia un manual de como descargar información… Aca esta el link al post del antro… fecha 2007…

    http://www.antronio.com/comunidad/f7/privacidad-chile-obtener-datos-de-cualquier-persona-328964/ ; Ahi mismo hay unos links de descarga. Que se metan ahi los de la bricrim, para que vean que no hubo ningún tipo de “hackeo”…”

    ¿…Locura no?

  21. Renato Jijena Leiva May 22nd, 2008 9:46 pm

    Kathy y JA: ….no sabía de esto, “…la sensación que me dejó la presidenta Bachelet en una declaración de prensa cuando dijo que nuestros datos personales se encuentran en estricta reserva y completo cuidado”. Puchas, ke puedo decir: …una más para arrepentirme de haber votado por ella :( . Es ke si alguien no entiende el tema, averigua u opina con prudencia…

  22. Renato Jijena Leiva May 22nd, 2008 9:54 pm

    Mi estimada Carla, genial que te sumes a los posts: …como s enota que el SEminario al que asististe a fines del 2007, sobre la ley 19.628, te dió elementos para entender los alcances del problema. Me sumo a lo que dices, en especial a que el discurso de “hay que tomar conciencia” ya está superado…

    Vi en un post d eun blog que se citaba esto: Link de 1998, http://www.mouse.cl/antes/Nro.160-1998.03.12/Nro.160B.html . O sea: antes de la ley; yo ahí era un niño osado; hoy, 10 años después!!!!!, nada ha cambiado… :(

    Puede que tengas razón en akello de ke “…considero que la respuesta no esta en proteger la dirección de correo eléctronico como dato sensible, puesto que si ese fuese el criterio, debería serlo el RUT o la dirección”. La idea de la propuesta en el proyecto es radicalizar los argumentos; si te fijas, hay otras materias que se busca regular, como la finalidad dada a la información procesada o el cambiar la definición de “fuentes públicas”. Y esas son mucho más esenciales que el tema del spam…

  23. Renato June 11th, 2008 2:03 pm

    Algunas reflexiones finales, habiéndose confirmado que no hubo hackeo y de cara a la ley 19.628, acá: http://soteder.blogspot.com/2008/05/proteccin-de-datos-personales.html

    rjl