El Instituto Nacional Electoral afirma que fue objeto de intentos de ciberataques, pero que ninguno se consumó; por esa razón, declara como ‘inexistentes’ los documentos en los que consten las tentativas de agresión


Unidad de Investigación

Además de ser organizador y árbitro de cada elección, el Instituto Nacional Electoral (INE) tiene la tarea de resguardar millones de datos personales de los mexicanos en edad de votar y proporcionar una cédula de identidad nacional.

Sin embargo, el órgano autónomo ha estado involucrado en varios escándalos sobre el robo o filtración de información relacionada con el padrón de electores. Y cuando se consulta a este instituto para conocer el número de ciberataques o hackeos que ha sufrido en los últimos años, la respuesta es que los archivos están reservados o que no existen.

En una solicitud tramitada vía Ley de Transparencia, ONEA México pidió cifras sobre las ciberagresiones que recibió el INE entre 2015 y septiembre de 2020; además, que explicara a detalle las operaciones que fueron vulneradas.

El área de Transparencia del Instituto Nacional Electoral dirigió la petición a la Unidad Técnica de Servicios de Informática (UNICOM) y a la Dirección Jurídica.

La UNICOM declaró que no existen los datos solicitados y aseguró que el INE ha sido objeto de “intentos” de ciberataques, pero que ninguno se consumó.

“En todos los casos, los intentos fueron detectados y contenidos por los distintos mecanismos de seguridad de la Red Nacional de Informática del Instituto (RedINE), por lo que ninguno de ellos fue exitoso. En este sentido, se declara la inexistencia de la información, referente a documentos u operaciones que fueron vulnerados derivado de que no ha habido ataques exitosos”, se lee en la respuesta.

A pesar del argumento de que ninguna ciberagresión penetró la plataforma del órgano, la Unidad Técnica de Servicios de Informática prefirió no entregar información estadística.

Por su parte, la Dirección Jurídica justificó la acción de la UNICOM bajo la figura del criterio 7/17 emitido por el INAI, el cual establece que no es necesario que el Comité de Transparencia confirme formalmente la inexistencia de la información.

Otros indicios en la congeladora

En el oficio de respuesta, el INE informó que con anterioridad su Comité de Transparencia aprobó cuatro resoluciones relacionadas con reservar información sobre ciberataques.

La primera tiene fecha del 27 de marzo de 2018 y el folio INE-CT-R-0197-2018; la segunda se estableció el 26 de julio de 2018 con la clave INE-CT-R-0398-2018; las restantes corresponden al 6 de junio y 20 de diciembre de 2019, los oficios son INE-CT-R-0124-2019 e INE-CT-R-0302-2019, respectivamente.

En estas resoluciones, el Comité resguardó información sobre los países de origen de los que provienen los intentos de ataques, montos por la compra de sistemas de protección de información, empresas contratadas que proveen servicios de ciberseguridad, además del registro de agresiones.

Datos a la venta

En más de una ocasión, datos sensibles de millones de electores se han puesto a la venta en sitios de internet. A causa de esos actos, el INE y la Fiscalía Especializada en Delitos Electorales (FEDE) han investigado la extracción ilegal de información.

El 14 de julio pasado, un vendedor ofreció en un foro web una lista con 91 millones de registros de ciudadanos.

René Miranda, director ejecutivo del Registro Federal de Electores, confirmó en entrevista con MVS Noticias que algunos de los datos coincidían con los del Padrón Electoral, por lo que el Instituto tuvo que proceder de manera legal para indagar el asunto.

El 19 de julio, el INE expuso que de manera preliminar se identificó que el corte de la información correspondía a 2018 y que la extracción de los registros se investigaba desde abril de 2020. Aclaró que por ese hecho interpuso una denuncia ante la FEDE desde mayo del año pasado.

De acuerdo con la Red en Defensa de los Derechos Digitales (R3D), el vendedor aseguró que dos copias le fueron compradas y que la última oferta publicada alcanzó los 50 mil pesos.

R3D establece que en 2016 ocurrió otra exposición masiva de datos del Padrón Electoral. En aquel caso, 93.4 millones de registros estaban alojados en un servidor de la compañía Amazon sin medidas de seguridad.