Esta semana, el usuario m100 de BreachForums publicó una base de datos personales de periodistas que fueron extraídos ilegalmente del entorno de preproducción alojado en el dominio alfa.gob.mx. Este martes, el usuario amenazó con tener una base de datos de expedientes médicos de la Secretaría de Salud (SSA) que puso a la venta. ¿Quiénes eran los responsables de estos sitios y cómo operaron?, algunas pistas quedan en la Red.
El pasado 22 de enero, fue publicado en el foro de hackers de sombrero negro, BreachForums, una base de datos y documentos personales de cerca de 300 reporteros que cubren la fuente de Presidencia. El usuario m1000 (@lolp01) explicó que había hackeado el Sistema de Acreditaciones de Prensa, que administra la Coordinación de Estrategia Digital Nacional (CEDN), encabezada por Carlos Emiliano Calderón Mercado.
La filtración fue denunciada por Víctor Ruiz, fundador de la firma de ciberseguridad Silikn. Tras emitir la alerta en X, datos personales y documentos de identidad fueron viralizados en las redes sociales por usuarios que accedieron a la base de datos con total libertad, incrementando en pocas horas el nivel de vulneración de datos personales de los periodistas.
A través de una rueda de prensa presidida por Calderón Mercado, la Secretaria de Gobernación, Luisa María Alcalde y el subsecretario de Derechos Humanos, Población y Migración, Arturo Medina Padilla, se explicó que la filtración se produjo después de que un actor externo ingresó a un sistema de la plataforma gob.mx del Gobierno de México con una cuenta de usuario de un extrabajador desde una IP de España.
Según explicó Calderón Mercado, la cuenta de usuario había sido dada de baja en el momento en que el exfuncionario se separó de su cargo. Sin embargo, quedó activa en un entorno de preproducción de aplicaciones, alojado en el dominio alfa.gob.mx, el cual contenía una parte de los datos reales de los periodistas.
Según el titular de la CEDN, el atacante aprovechó una ventana de oportunidad para ingresar a la cuenta de usuario y extraer la información en un momento previo a que fuera migrada al entorno de producción. Sin embargo, no respondió a la pregunta respecto a por qué esos datos, que eran delicados, fueron utilizados para trabajar en un entorno de preproducción.
De acuerdo con un documento disponible en Scribd, el Alta Patronal e Inscripción en el Seguro de Riesgos de Trabajo del Instituto Mexicano del Seguro Social (IMSS), también estaría relacionada con el sitio que ya fue inhabilitado.
De acuerdo con este documento, el entorno de preproducción alfa.gob.mx operaba con la Ventanilla Única a través del subdominio alfa.gob.mx/ventanilla.
La Ventanilla Única tiene la particularidad de recibir datos personales de usuarios que realizan trámites en distintas dependencias. Lo que abre la posibilidad a que en este entorno de trabajo hubiera más datos personales recolectados por otras instancias gubernamentales.
Similarweb, un portal especializado en análisis de tráfico de sitios, indica en su base de datos que durante el último corte de 28 días, del 30 de diciembre de 2023 al 26 de enero del año en curso, el 96.88 por ciento de ingresos por sitios de referencia a este dominio habrían procedido del enlace serviciosdigitales.imss.gob.mx, la ventanilla digital de tramites para derechohabientes de la institución de salud.
A casi una semana de la primera publicación del usuario de BreachForums, m1000 (@lolp01), realizó una nueva publicación en la que aseguró tener en su poder una base de datos extraída del portal salud.gob.mx, correspondiente a registros médicos que incluyen nombre completo, CURP, fecha de nacimiento, vacunas, direcciones, números telefónicos, correos electrónicos y otros datos, los cuales puso a la venta a través de Telegram. Sin embargo, no aclaró de qué base de datos obtuvo la información. Por el título de la publicación «Admin Access to salud.gob.mx», el presunto hackeo que refiere este usuario pudo realizarse de nuevo a través de una cuenta de usuario comprometida. Sin embargo, las autoridades no han confirmado que el sitio señalado fuese comprometido.
¿QUIENES RESPONDEN POR LOS DATOS?
El portal de Salud.gob.mx señala en su registro whois como administrador a la Dirección General de Tecnologías de la Información de la Secretaría de Salud, que según el registro de Nómina Transparente, es dirigida por César Vélez Andrade, quien asumió el cargo en abril del 2019.
En el caso del entorno de preproducción alfa.gob.mx los registros de whois, que podrían no estar actualizados, señalan como administrador responsable a la CEDN y como administrador a Eduardo Martínez Vargas, quien está dado de alta como trabajador del Centro de Investigación e Innovación en Tecnologías de Información y Comunicación (Infotec), con el cargo de director en Ventanilla Única, una plataforma que es responsabilidad de la Estrategia Digital Nacional (EDN). El portal fue creado en 2014 y actualizado por última vez en 26 de enero del año en curso.
Aunque Vélez y Martínez son señalados como administradores de los sitios en los registros de whois, ninguno de estos funcionarios ha sido relacionado por las autoridades con el hackeo y la investigación sigue en curso. Ambos se encuentran como trabajadores activos del Gobierno federal.
Eduardo Martínez se encuentra en estatus de eventual desde 2020, en que asumió el cargo. De acuerdo con sus declaraciones patrimoniales, se le entregó la dirección, a pesar de contar con escolaridad de nivel preparatoria. Meses después, informó de su ingreso a la licenciatura en Ingeniería en Gestión de Proyectos, en la Universidad Virtual del Estado de Guanajuato (UVEG), cuando ya se encontraba a cargo del área.
Sin embargo, Eduardo Martínez no es una persona poco experimentada, inició su trayectoria como técnico en informática en el año 2004, en el Registro Civil de la Ciudad de México.
En el año 2009, surge la Unidad de Gobierno Digital (UGD), antecesora de la EDN. El correo con el que Eduardo Martínez se identificó en documentos gubernamentales a partir de 2019, tiene la extensión de este proyecto extinto. En ese año, participó en el 4to Plan de Acción 2019-2021, del Comité Coordinador de la Alianza para el Gobierno Abierto, que fue integrado por la Secretaría de la Función Pública (SFP), el Instituto Nacional de Transparencia (INA), y varias organizaciones entre las que destacan Artículo 19 y R3D.
Un año después, en 2020, Martínez asumió el cargo directivo en la Ventanilla Única, donde también aparece como responsable de la app de Acreditaciones de Prensa, disponible en Google Play. Esta app tuvo menos de 50 descargas.
ENTORNO DE TRABAJO
Se le llama entorno de preproducción, o entorno de integración, a un servidor que emula al entorno de producción para verificar que funcione de manera correcta. En este espacio, los programadores pueden probar actualizaciones, realizar demostraciones, o capacitar a personal. La preproducción difiere de los entornos de desarrollo y pruebas, y se encuentra un paso antes del entorno de producción.
Alfa.gob,mx forma parte de la Ventanilla Única, un proyecto que surgió durante la administración del presidente Enrique Peña Nieto, cuando la senadora Alejandra Lagunes era titular de la EDN y tenía por objetivo homologar todos los trámites del gobierno en un solo sitio que además fuera interoperable.
El proceso implicó iniciar varias faces de digitalización de trámites, que de acuerdo con las WikiGuias que aún se encuentran disponibles en el portal del Gobierno de México, estas fases cumplen con estándares de la Organización de Naciones Unidas (ONU).
En el nivel 1, solo hay información del trámite en el portal; en el 2, se pueden descargar formatos; en el 3, se puede realizar una parte del trámite en línea; y finalmente en el 4, el trámite puede realizarse por completo desde la ventanilla digital.
Estas fases están sujetas a diagnósticos y requieren en ocasiones de la conformación de equipos multidisciplinarios de trabajo y de capacitación de funcionarios, esto implicó una gran cantidad de tráfico en el portal. Similarweb indica que entre el 30 de diciembre de 2023 y el 26 de enero de este año, se registraron 7 mil 541 visitas, de las cuales el 47 por ciento habría sido por escritorio y el resto por teléfono móvil.
OTRO SITIO SIMILAR
En 2013, Lagunes anunció la creación del portal beta.gob.mx, que sería una primera fase del Gobierno Digital, al igual que el dominio alfa.gob.mx, este sitio un año más antiguo que el que fue comprometido, también se encuentra inhabilitado.
De acuerdo con el registro Whois, el dominio beta fue creado el 13 de noviembre del 2013 y su última fecha de actualización fue el 26 de enero de este año. Este segundo sitio también es administrador por la EDN. Sin embargo, en el nombre del administrador continúa referida Alejandra Lagunes y no se encontraron registros de actividad reciente.