“Hola. Este es mi primer hilo (ofreciendo algo de contenido). Una pequeña base de datos que contiene becas”, afirma el usuario “atestingrobot” en una publicación del 19 de diciembre en el foro RaidForums. El archivo, que “atestingrobot” ofrece de forma gratuita en un foro al que se puede acceder desde Google, es una base de datos en formato Excel (.xlsx) con 110 perfiles de estudiantes becados por el programa de Becas de Educación Media Superior Benito Juárez. Encabezado por los logotipos del Banco del Bienestar y de las Becas Benito Juárez, el documento titulado ANEXO A. Detalles de Kit's de Becas Benito Juárez tiene por fecha enero de 2020 y muestra la leyenda “Database provided by atestingrobot” debajo del título; así como la lista de 110 perfiles divididos en 13 columnas.

Los perfiles agregan el nombre y apellidos del estudiante; el estado y municipio en el que están registrados dentro del Banco del Bienestar; así como el número de una tarjeta y otros identificadores, como el folio de cada estudiante, y las claves locales y estatales de cada perfil. En total, se trata de 1,430 registros que incluyen datos personales y metadatos (datos sobre esos datos) de los beneficiarios del programa de becas, la mayoría de municipios como El Barrio de la Soledad, Juchitán de Zaragoza y San Miguel Chimalapa, todos en el estado de Oaxaca.

La difusión de esta base de datos ocurrió 10 días después de un incidente informático que paralizó las operaciones del Banco de Bienestar, responsable de entregar los beneficios de las Becas Benito Juárez y de los demás programas sociales del gobierno federal, como Jóvenes Construyendo el Futuro y la Pensión para el Bienestar de las Personas Adultas Mayores.

Las becas Benito Juárez consisten en un estipendio de 800 pesos mensuales que son entregados a jóvenes estudiantes del nivel medio superior en instituciones públicas. En total en este programa de asistencia pública se tienen registrados 3.9 millones de beneficiarios.

Según el ofertante de la información de carácter personal, ésta fue obtenida mediante el correo electrónico de un empleado del Banco del Bienestar. “La base de datos está fresca y no ha sido usada”, escribe, para después detallar el país de origen de la información, México, la institución a la que le fue extraída la información, en este caso Banco del Bienestar, y el formato del archivo: .xlsx. “Espero que esta base de datos sea útil para todos ustedes”, remata la oferta e inserta el link de descarga del archivo, sin contraseñas ni otra medida de seguridad.

Aspirante a bróker de datos

Hiram Camarillo, director y fundador de la firma de ciberseguridad Seekurity, descubrió esta publicación en RaidForums el mismo día de su publicación, a través de un programa de escaneo de este tipo de páginas que busca información relacionada con instituciones públicas, es decir páginas en las que se mencione el dominio gob.mx del gobierno mexicano o a otras entidades públicas de todos los niveles.

De acuerdo con Camarillo, el usuario pudo haber tenido acceso a las credenciales de correo electrónico (nombre de usuario y contraseña) de un trabajador del Banco del Bienestar y desde ahí descargó la información, para después publicarla.

El usuario “atestingrobot” es un aspirante a bróker de datos, un profesional del tráfico de datos en la red. Se estrenó como bróker un día antes de la publicación en RaidForums y se ha mostrado muy interesado en obtener bases de datos relacionadas con México. Su poca experiencia en el negocio podría documentarse en los metadatos del archivo que compartió en internet, pues contienen un nombre y apellido que posiblemente son los suyos y una ubicación de usuario: Torreón, Coahuila.

Un banco paralizado

El 8 de diciembre, el Banco del Bienestar comenzó a sufrir una serie de intermitencias que terminaron en una parálisis total de sus sistemas, por lo que durante el 9 de diciembre permanecieron cerradas sus 450 sucursales. Las unidades reabrieron sus puertas el jueves 10, pero operaron de forma muy limitada, según los empleados del propio banco.

El Economista consultó al Banco del Bienestar acerca de esta oferta de datos, pero no hubo respuesta inmediata a la solicitud.

De confirmarse que la base de datos filtrada pertenece al Banco del Bienestar, esta institución se sumaría a una larga lista de entidades del gobierno federal que se han visto afectadas por exposiciones de datos personales y ciberataques durante el 2020. Las instituciones públicas vinculadas al sector financiero, como la Comisión Nacional de Seguros y Fianzas (CNSF), que fue víctima de un ataque de ransomware; la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) y el Servicio de Administración Tributaria (SAT) han estado entre las más golpeadas por este tipo de incidentes.

Los incidentes de seguridad de la información tampoco se limitan a estas entidades, pues tanto el Instituto de Salud y Seguridad Social para los Trabajadores del Estado (ISSSTE) y la Secretaría de la Función Pública también sufrieron situaciones de seguridad por las que se expuso información personal y hasta sensible de ciudadanos mexicanos. Hasta el momento, Función Pública es la única instancia que ha sido investigada y reconvenida por el Inai, la oficina de protección de datos personales de México.

rodrigo.riquelme@eleconomista.mx