El 22 de enero de 2024, en un conocido foro de filtraciones de datos, un usuario ofrecía acceso a un archivo de 150 megas con más de 300 registros de periodistas. El fichero contenía información personal como nombre completo, dirección de correo electrónico, RFC, fecha de nacimiento, número telefónico y lugar de trabajo. Además, en una carpeta, se incluían documentos de identidad escaneados: credenciales de elector, pasaportes y actas de nacimiento.

La base de datos, más tarde se supo, provino del sistema de acreditación de prensa de la Presidencia de la República, el mismo que se utiliza para registrar a las personas que cubren las conferencias matutinas del presidente. Tras conocerse la noticia, el vocero de Presidencia, Jesús Ramírez, admitió que los datos fueron extraídos porque alguien utilizó los accesos de un extrabajador que había dejado su puesto meses atrás. 

A la fecha, no hay rastro de quién sustrajo la información, que estuvo disponible por varios días para su descarga.

¿Quién da más? El mercado negro de los datos

La filtración de datos de periodistas está lejos de ser el único caso ni el más comprometedor. En los últimos tres años, se han identificado en México bases de datos de entidades financieras como BBVA, Santander y Banorte a la venta, así como de dependencias públicas como el IMSS, el Banco del Bienestar, el ISSSTE, el Infonavit, entre otras. 

El mercado negro de bases de datos filtradas está en constante movimiento. La información se vende en foros especializados, sitios de subasta o canales de Telegram. Estos espacios no son fáciles de hallar y operan discretamente, desde la clandestinidad: algunos requieren registro previo para acceder por completo o ingresar a una red oscura (darknet), aquella cuyos contenidos no son posibles de encontrar usando un buscador como Google.

Además, su ubicación esquiva hace muy difícil identificar bajo qué jurisdicción operan, por lo que la mayoría de las acciones para desactivar estas redes implican esfuerzos internacionales. Si bien se han desactivado foros emblemáticos como RaidForums o BreachForums en años recientes, estos sitios encuentran la forma de resurgir, ya sea con clones bajo un nuevo nombre o alojados en la web oscura. Como la hidra: corta una cabeza y surgirán siete más. 

También te puede interesar leer “Desencriptar Medellín: el código de una nueva ciudad tecnológica“.

Los mercaderes de datos siguen, casi siempre, la misma dinámica: una publicación que ofrece acceso a alguna base de datos, sustraída de alguna entidad pública o privada, a cambio de un pago, usualmente en criptomonedas. El vendedor sube un fragmento de la base para probar su autenticidad. Entre más registros (y más actuales), más alto el precio; si la base es inédita, puede alcanzar un cuantioso monto. 

Pero como en todo mercado, las bases también se deprecian. Es común que algunos vendedores sean acusados de dar gato por liebre al anunciar bases que ya han sido divulgadas con anterioridad. Los marchantes se defienden respondiendo que 80 o 90 por ciento de sus datos siguen vigentes (¿cuándo fue la última vez que cambiaste de número telefónico, por ejemplo?). Cuando pasa la novedad, las bases acaban en enlaces abiertos de descarga o en sitios de alojamiento de texto, como Pastebin. 

Tu nombre, tu teléfono, tu identidad: algo tan valioso para ti, termina como cascajo por el que ya no interesa siquiera cobrar.

Un caos a un dato de distancia

Abres tu correo electrónico. En tu bandeja de entrada aparece un mensaje: has olvidado descargar un comprobante fiscal digital (CFDI). No recuerdas haber pedido ninguna factura recientemente, pero en el cuerpo del correo está tu nombre y tu RFC. Haces clic en el archivo adjunto o en el enlace de descarga. Sin querer, desatas un apocalipsis personal. 

Cuando te percatas —si es que lo haces— es demasiado tarde: tu dispositivo ha quedado comprometido por un malware. Quizá tu información financiera sea extraída y lo sabrás en tu siguiente estado de cuenta. Tal vez no podrás acceder a tus archivos a menos que pagues una extorsión. O si eres periodista, defensor de derechos humanos o un opositor político, incluso algo peor. 

Las filtraciones de datos proporcionan información valiosa para quienes las explotan. En el mejor de los casos, son adquiridas por agencias de publicidad sin escrúpulos que las usan para hacer llamadas automatizadas: que si vas a votar por tal candidata, que si conoces equis tarjeta de crédito. Estas bases de datos alimentan las maquinarias de spam, llenas de anuncios engañosos y promesas vacías.

En otras ocasiones, estos datos ayudan a estafadores a crear mensajes verosímiles que incrementan sus posibilidades de éxito, especialmente ante objetivos vulnerables, como adultos mayores. Una persona es mucho más susceptible de caer en la trampa si recibe información real, como su dirección postal o su número de cuenta. A menudo, los criminales solamente requieren un dato faltante, que la víctima entrega voluntariamente, para cumplir su cometido.

El riesgo se incrementa con el cruce de datos. Imagina, por ejemplo, que abres una cuenta en un servicio de streaming. Registras tu dirección de correo, una contraseña y un teléfono. Esa base de datos se filtra. ¿En cuántos otros servicios usaste exactamente el mismo correo y contraseña para acceder?, ¿en qué otros lugares vinculaste ese número telefónico?, ¿en el correo que usas en tu trabajo?, ¿en la cuenta de banco donde guardas tus ahorros?

A veces únicamente hace falta un solo dato personal para comprometer todo tu ecosistema. Los servicios digitales cada vez demandan una mayor vinculación con identificadores como el número telefónico o el correo electrónico. Los cruces de bases de datos permiten construir patrones, relaciones, entramados que pueden revelar aspectos de la vida privada de un individuo. En las manos equivocadas, pueden inclusive habilitar ataques que comprometan la integridad de las personas.

Por ejemplo, para periodistas y personas defensoras de derechos humanos, la filtración de datos personales ha mostrado ser especialmente dañina. En el sexenio de Enrique Peña Nieto, el modus operandi para instalar el malware Pegasus —un programa de espionaje capaz de obtener control de todas las funciones del teléfono— era mediante mensajes de texto con información personalísima para tentar al objetivo a hacer clic en un enlace malicioso. 

Y aún no hemos hablado de datos biométricos, un tema de privacidad que, por sí mismo, merecería otro texto. Datos como la huella dactilar o el iris son indisociables de la identidad, por lo que su filtración y mal uso ─como una suplantación de identidad─ pueden tener efectos devastadores. Iniciativas para recabar y tratar esos datos están recibiendo duras críticas alrededor del mundo, como el caso de Worldcoin, una startup del fundador de OpenAI que ofrece criptomonedas a cambio de biométricos, que recién fue bloqueada en España por su agencia de protección de datos. 

A pesar de que México cuenta con un marco jurídico de protección de datos personales, en la práctica deviene en letra muerta. El órgano garante de este derecho, el INAI, no tiene las facultades suficientes para sancionar efectivamente la malversación de datos. Es desconocido el número de denuncias que ha atendido la Policía Cibernética sobre filtraciones de datos o cuántos de ellos han llegado a un proceso penal exitoso. Al igual que el mercado de datos, las acciones para combatirlo están en las sombras.

También te puede interesar leer “Mineros en la superficie: el furor de las criptomonedas“.

Fotografía de Florence Lo / Reuters.

Así mismo, las entidades (privadas o públicas por igual) que sufren una filtración de datos optan por la opacidad y la negación, en lugar de notificar a las personas afectadas u ofrecer medidas de reparación. Tampoco implementan medidas adecuadas de protección, como el cifrado de las bases de datos, su resguardo de forma descentralizada o minimizar la recolección de información al mínimo necesario. 

Peor aún, la responsabilidad se traslada al usuario, al que se le culpa de no protegerse adecuadamente, sin que se atiendan las causas estructurales. El problema se reduce a una cuestión individual: eres tú el que se equivoca, el que se expone, el que no se cuida. 

El 21 de febrero de 2021, a un mes de la filtración de datos del registro de prensa de la Presidencia, Andrés Manuel López Obrador señaló en su conferencia matutina a Natalie Kitroef, periodista de The New York Times, por un reportaje. Ante millones de personas que siguen la mañanera, el mandatario expuso el número telefónico de la reportera. 

Su acción causó revuelo en redes sociales, a lo que López Obrador respondió:

— Si la compañera está preocupada porque se dio su teléfono, que cambie su teléfono y ya.

Ojalá fuera así de fácil.

PEPE FLORES es activista por los derechos humanos, promotor de la cultura libre. Presidente en Wikimedia México y Director de comunicación en la organización R3D. Maestro en Comunicación y Medios Digitales por la UDLAP. Escribe e investiga sobre privacidad, vigilancia, libertad de expresión, seguridad digital y cultura libre.