Temática: Seguridad digital

Los peligros del voto electrónico

Sin votos, un sistema carece de legitimidad. El voto es una parte muy importante de la democracia como se entiende hoy, al permitir a la población de un país elegir a sus representantes de manera libre y secreta. Pero además, recoge varios derechos como a la libertad de expresión y a la participación política.

En la actualidad, el voto electrónico surge como una alternativa viable y cómoda en los procesos electorales, tanto para el registro como para el conteo. De acuerdo con quienes han lo han impulsado, este sistema reduciría las posibilidades de fraude electoral y así, contribuiría a restaurar la confianza de la población votante. Los gobiernos que lo han implementado afirman que a través de este se garantiza la seguridad de los votantes, asegurando que el voto será secreto y el proceso electoral será transparente y enfocado a cumplir con una elección democrática de los representantes.

Sin embargo, estos sistemas no han considerado todas las implicaciones existentes en términos de derechos humanos. Por ejemplo, los derechos a la privacidad, a la seguridad o a la protección de los datos personales pueden verse fácilmente vulnerados, pues además de la cantidad de datos que puede recoger el software utilizado, acerca de los y las votantes, los sistemas de votación electrónica pueden ser fácilmente intervenidos o hackeados para afectar los resultados de la votación y cometer fraudes electorales.

¿Qué pasaría en un sistema político si el voto no fuera secreto? Podríamos imaginar persecuciones políticas a quienes votaron por el candidato perdedor, o a personas que se abstuvieron y decidieron no votar. La implementación de sistemas de voto electrónico no asegura que algo así no sucederá, sino que podría propiciar un abuso en el ejercicio del poder en la esfera política.

El desarrollo de la tecnología y el uso del internet permiten la creación de una vida en el entorno digital, con grandes beneficios para las personas y grupos sociales, pero por lo mismo modo ha facilitado el almacenamiento digital de innumerables datos personales, muchos de los cuales atentan contra la privacidad de los usuarios. Esto supone un riesgo en tanto el acceso a los datos personales no solo está habilitado para las personas titulares de dichos datos, sino para cualquiera que tenga interés en ellos.

Los sistemas digitales no son necesariamente seguros. O quizás deberíamos decir que en distintos grados, siempre son susceptibles de ser intervenidos. Así, en relación con el voto electrónico, derechos fundamentales, políticos y electorales se encuentran en riesgo si no se establecen medidas adecuadas para implementar métodos digitales de votación que garanticen procesos democráticos y transparentes de participación.

En el contexto latinoamericano, Argentina y Chile ya están considerando sistemas de voto electrónico. En el caso de Argentina, se han llevado a cabo diversas pruebas piloto para elecciones en sus diferentes provincias. Buenos Aires fue la primera provincia en legislar e implementar dicho sistema. Aunque el establecimiento del voto electrónico se ha dado de manera gradual, durante este proceso se ha ido manifestando la preocupación por parte de ciertos miembros de la sociedad civil sobre algunas vulnerabilidades que podría tener el sistema y las máquinas de votación electrónica.

Además, durante este año se aprobó en la Cámara de Diputados la reforma electoral que incluye la implementación del voto electrónico a nivel nacional. De ser aprobado en el Senado, este sistema, que ha sido fuertemente cuestionado tanto por la comunidad técnica como por activistas de derechos humanos y por la academia, sería utilizado en las elecciones de 2017, por lo que además implicaría un apresurado proceso de implementación. Por eso, instituciones, organizaciones y personas han manifestado su rechazo enfático frente a la adopción de este sistema.

En Chile se está considerando la implementación del voto electrónico debido a la constante abstención de la sociedad durante los procesos electorales. Los criterios que se están tomando en cuenta para el establecimiento del sistema electrónico de votación es la utilización de sistemas de medición biométricos para la identificación de las y los votantes, como por ejemplo, el registro de la huella dactilar.

Brasil, por otro lado, ha automatizado por completo su sistema electoral. Implementó el voto electrónico desde 1996 y, a pesar de que el sistema es considerado “exitoso”, se han encontrado numerosas fallas. Estudios han demostrado que es posible comprometer el encriptado del software y violar la secrecía del voto.

En el contexto latinoaméricano es necesario considerar si el voto electrónico, fácilmente manipulable y que puede impedir de la capacidad de emitir un voto libre y secreto, sea el mecanismo más apto para legitimar la democracia y la protección de los derechos políticos de las personas.

¿Son seguras las contraseñas que estás usando?

Las contraseñas protegen tus información más valiosas: el contenido de tus comunicaciones, el acceso a tus dispositivos e incluso el saldo de tu cuenta bancaria. A pesar de ello, usualmente somos negligentes a la hora de crearlas. Es cierto, crear contraseñas es dífícil y todavía más tener que recordarlas. ¿Qué hacer? ¿Cómo sé si las contraseñas que estoy usando son realmente seguras? Steffania Paola, miembro del equipo técnico de Derechos Digitales y Mozilla Fellow 2016-2017, nos da algunos consejos y herramientas.

¿Cuáles son los riesgos asociados al uso de una contraseña insegura?

Cuando usas una contraseña insegura o demasiado sencilla de adivinar, te vuelves vulnerable. Existen programas que pueden ser usados por cibercriminales para intentar descubrir tus contraseñas o puedes ser víctima de la llamada “ingeniería social”, la práctica de obtener información confidencial a través de la manipulación de usuarios.

Cuanto más sencilla es una contraseña, más rápidamente puede ser adivinada.

[left]Cuando usas una contraseña insegura o demasiado sencilla de adivinar, te vuelves vulnerable.[/left]

¿Cuándo podemos considerar que una contraseña es segura?

Una contraseña se considera segura cuando cumple los siguientes requisitos:

  • Es larga: Cuanto más larga es la contraseña, es menos probable que un computador sea capaz de descifrarla en un lapso de tiempo razonable. En rigor, es posible descifrar cualquier contraseña si se tiene suficiente tiempo, por lo que debemos aspirar a que sea muy trabajoso descifrar las nuestras.
  • Es compleja: Si es posible, siempre incluye en tu contraseña letras mayúsculas, minúsculas, números y símbolos, como signos de puntuación.
  • Es impersonal: Tu contraseña no debe estar relacionada a ti de manera personal: evita usar fechas importantes como tu cumpleaños, el nombre de un pariente o de tu mascota, ni de cualquier información que sea fácilmente asociada a ti.
  • Es secreta: No compartas tu contraseña con nadie a menos que sea absolutamente necesario.

Además, una contraseña debe ser escogida de modo que si alguien la descubre, el daño sea mínimo. Para ello, hazla única: Evita usar la misma contraseña para más de una cuenta.

¿Es necesario cambiar tus contraseña de forma regular?

Si bien es una recomendación recurrente, lo cierto es que si cumplimos las recomendaciones anteriores no es necesario actualizar nuestras contraseñas de forma regular. De cualquier forma, no hace daño, en la medida en que seamos capaces de recordar nuevas contraseñas largas, complejas y únicas. Para ello, la ayuda de un gestor de contraseñas es clave.

Al crear nuevas contraseñas, muchas veces se nos recomienda (y a veces se nos impone) usar caracteres poco usuales, números y combinar letras mayúsculas y minúsculas. ¿Es esto efectivo realmente?

Es efectivo, pero no garantiza la inviolabilidad. Cuanto más compleja es la contraseña, más difícil es descubrirla. Si usamos una mayor cantidad de elementos distintos en una contraseña (como letras mayúsculas, minúsculas, símbolos, etc.) se agrega una capa de seguridad contra los programas que intentan adivinarlas.

Estos programas funcionan por ensayo y error, y pueden estar diseñados para aprender palabras y nuevas combinaciones. Entonces, no garantiza que tu contraseña nunca será adivinada, pero puede costar más trabajo.

Ahora que tengo mi contraseña segura, ¿qué otras medidas complementarias puedo aplicar para resguardar mi información personal?

-Usar un gestor de contraseña, como KeePassX, es una buena idea. Se trata de una aplicación capaz de generar claves aleatorias y seguras.

Como sabemos, memorizar una contraseña bien pensada para cada cuenta en la práctica es inviable, Keepass puede ayudarte a crear una contraseña aleatoria, sin patrón o estructura, una contraseña difícil de adivinar. El programa es capaz de elegir contraseñas como «mRyKEQ3p$KdkpCRJxjl0v». Pero no te preocupes: el administrador de contraseñas las recuerda por ti, así que solo debes aprenderte una contraseña maestra y nada más. Es muy fácil de usar y además es gratis.

-Activa la autentificación de dos pasos (2FA). De esta manera, cada vez que se abre sesión en un nuevo dispositivo, te envían un mensaje a tu teléfono con una segunda contraseña. Esto significa que aunque alguien obtenga acceso a tu contraseña primaria, no podrá acceder a tu cuenta, a no ser que también esté en posesión de tu teléfono móvil. De esta forma, 2FA ofrece mayor protección al comprobar tu identidad por más de un método. Servicios como Facebook, Twitter y Gmail poseen esta característica.

Encuentra más consejos de seguridad digital acá.

Teléfonos que vigilan

Israel Leiva & Gisela Pérez de Acha

Los smartphones son parte de nuestra vida cotidiana más íntima. Todo lo que decimos, hacemos y pensamos, a dónde vamos, las cosas que buscamos y queremos, pasa por nuestro teléfono celular. Desde redes sociales al correo electrónico, parte importante de nuestra vida personal y profesional transcurre a través de estos aparatos.

Por eso los celulares son el objetivo perfecto si alguien está interesado en vigilarnos. No importa si es Android o iPhone, está comprobado que los teléfonos son la puerta principal a través de la cual los gobiernos, las empresas y los criminales acceden a nuestra información. La puerta es aún más ancha si como usuarios no tomamos precauciones para evitar que estos actores se infiltren en nuestros aparatos, por ejemplo, a través de software malicioso.

Un ejemplo reciente viene a colación a partir del último informe de la organización canadiense Citizen Lab sobre un tipo específico de software malicioso llamado “Pegasus”, comercializado por la empresa NSO Group.

Pegasus explota vulnerabilidades en el iPhone para obtener acceso a la información en él contenida. El informe documenta el caso del periodista Rafael Cabrera —uno de los principales encargados de la investigación que reveló escándalos de corrupción del presidente mexicano— quien recibió una serie de mensajes de texto donde alguien posaba como una agencia de noticias y referían a su vida personal y profesional de forma sospechosa. Si hubiera dado clic (cosa que al parecer no hizo) se habría infectado: todos sus mensajes, ubicación, historiales y conversaciones hubieran sido interceptados.

En lo que respecta a Android, la lógica es parecida. Vía vulnerabilidades en sus aplicaciones (un tipo de archivo llamado APK) se reportaron infiltraciones a periodistas en Irán. Si el usuario descarga estas aplicaciones maliciosas se puede acceder a todo el contenido de su teléfono. Ya en 2015 la organización Lookout descubrió lo que se conoce como “adware troyanizado”, una aplicación maliciosa que se disfraza de otra común, como podría ser Facebook, Twitter, CandyCrush o Snapchat, y permite que criminales accedan a información sensible en nuestros teléfonos. En Brasil y México cientos de miles de usuarios fueron afectados.

Si bien el panorama puede parecer alarmante, el malware utilizado en el iPhone cuesta alrededor de un millón de dólares y no tiene a los usuarios comunes como objetivo principal. Sin embargo, en términos generales, es importante seguir algunos pasos mínimos de seguridad: no abrir documentos y enlaces cuyo origen desconozcamos; nunca confiar en personas o servicios que nos piden nuestras contraseñas; verificar con quién efectivamente hablamos y no instalar archivos APK o aplicaciones de fuentes no confiables.

Un ejercicio responsable y consciente de nuestra vida en línea nos puede proteger contra ataques de empresas, gobiernos y criminales, y salvaguardar nuestros documentos e informaciones personales, y así existir de forma segura en internet.

¿Son estas las armas de espionaje de la NSA?

El pasado lunes, un desconocido grupo de hackers llamado The Shadow Brokers anunció haber obtenido archivos confidenciales de Equation Group, uno de los grupos abiertamente asociados a la NSA y los principales sospechosos del desarrollo de importantes armas de malware como Stuxnet o Flame. The Shadow Brokers inició una subasta millonaria por los archivos obtenidos, al mismo tiempo que publicaron parte de su botín como prueba de sus logros.

Si bien es imposible saber con certeza cuántas veces un grupo o servicio ligado a la NSA ha sido hackeado, esta es la primera vez que alguien indica haberlo hecho. La publicación de parte de los ficheros obtenidos le ha quitado el sueño a un buen número de profesionales y aficionados a la seguridad informática, que por primera vez tienen la posibilidad de observar y entender parte del arsenal digital con que cuenta la NSA.

Antes de avanzar es bueno recordar que el objetivo de la NSA es el espionaje masivo, es decir que -a diferencia de Hacking Team o Gamma International- no suele atacar a dispositivos específicos, sino a parte de lo que se suele denominar “infraestructura crítica”.

Objetivo: Firewalls

Gran parte de los ficheros están programados en python, un lenguaje que facilita mucho su lectura y donde es relativamente fácil encontrar pistas de qué hace qué en un programa. Es así como podemos saber que un buen número de las herramientas indican estar destinadas a firewalls.

Un Firewall es un dispositivo que se encarga de controlar el tráfico en una red de acuerdo a ciertas reglas definidas. Es la primera línea de defensa para impedir desastres en empresas, universidades, centros de salud y otros, protegiendo de ataques masivos a un gran número de ordenadores bajo su protección.

Las herramientas desarrolladas por Equiation Group serían exploits, un pequeño programa que aprovecha una vulnerabilidad de seguridad del sistema para conseguir un comportamiento anómalo. Dentro de los exploits más graves se encuentran los llamados “Remote Control Execution” o RCE que permiten a alguien ejecutar código sin tener acceso al dispositvo.

Entre los objetivos se encuentran modelos de firewall de Cisco PIX/ASA, Juniper Netscreen y Fortigate entre otros. Lo listado a continuación es la información que existe hasta el momento:

EGREGIOUSBLUNDER: Es un exploit que permite ejecución de código remoto (RCE) para firewalls Fortigate, afectando a 12 modelos específicos.

ELIGIBLEBOMBSHELL: Es un RCE para firewalls TOPSEC desde la versión 3.2.100.010.1_pbc_17_iv_3 a la 3.3.005.066.1. A este exploit le acompañan WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, una serie de programas que permiten el control del dispositivo tras la ejecución de ELIGIBLEBOMBSHELL.

ELIGIBLECANDIDATE: Es otro RCE que aprovecha otra falla de seguridad en la misma área en firewalls TOPSEC, afectando las versiones 3.3.005.057.1 a la 3.3.010.024.1.

ELIGIBLECONTESTANT: Es otro RCE también para firewalls que apunta a los mismos firewalls de ELIGIBLECANDIDATE, pero usando otra falla en su seguridad.

EXTRABACON: Es un RCE que afecta a Cisco Adaptive Security Appliance (ASA) en 15 distintas versiones. Usa una vulnerabilidad del protocolo SNMP y requiere como requisito saber el tiempo en línea como la versión de software.

EPICBANANA: es un exploit para escalar privilegios, esto significa poder ejecutar comandos de administrador en el dispositivo. Su objetivo son también los Cisco ASA y Cisco Private Internet eXchange (PIX). Usa una falla de seguridad, bastante común lamentablemente, que es usar las credenciales de acceso por defecto (la contraseña es cisco). Afecta a 15 versiones ASA y 7 PIX.

ESCALATEPLOWMAN: Es otro exploit para escalar privilegios, esta vez contra firewalls WatchGuard, sin conocerse aún las versiones afectadas. Se ejecuta mediante una inyección de código en el comando ifconfig.

BOOKISHMUTE: Exploit contra un firewall aún no identificado que ejecuta Red hat 6.0

FALSEMOREL: Permite usar el hash de una contraseña para escalar privilegios en un firewall no especificado. Requiere telnet habilitado para ejecutarse.

ELIGIBLEBACHELOR: Sirve para introducir un exploit desconocido hasta el momento en firewalls TOPSEC.

Gravedad

Varios de estos exploits son 0day (día cero), término con que se conocen las fallas de seguridad que son explotables sin tener parches por parte de sus desarrolladores. Varios de estos archivos datan de 2013, lo que implica que al menos durante tres años la NSA no informó a los fabricantes de firewalls sobre estas vulnerabilidades en sus sistemas y pudieron ser usadas.

Por la cantidad de dispositivos, EXTRABACON es posiblemente la herramienta de mayor gravedad. Si bien no está recomendado que estos routers dejen disponible SNMP en internet, una búsqueda rápida indica que en América Latina hay miles de estos dispositivos posiblemente vulnerables: más de 5200 en Brasil, casi 2000 en México, sobre 1100 en Chile  y casi 1000 en Colombia.

Combinando la nula responsabilidad de la NSA de informar los fallos de seguridad que detecta y la poca responsabilidad local de asegurar nuestras redes, miles de equipos han estado a merced de hackers durante años y hoy, por la libre disposición de estos ficheros, están a merced de cualquiera que se tome el tiempo de leer un poco

¿Cuáles son las responsabilidades que conlleva una filtración?

Hace pocos días, se supo de la filtración masiva de unos 20.000 mensajes de correo electrónico del Partido Demócrata, en el contexto de la controvertida carrera presidencial que tiene lugar en Estados Unidos. La filtración ocurrió en un momento clave: justo previo a la realización de la convención del partido, en que Hillary Clinton ha sido ungida como la candidata que hará frente a Donald Trump. Incluso se ha llegado a decir que Trump se habría asociado con el Gobierno ruso para llevar a cabo la filtración y perjudicar campaña demócrata, lo que por supuesto el implicado niega tajantemente.

Más allá de las acusaciones, la filtración sirvió para exponer ante los votantes las maquinaciones políticas en el partido de Clinton. En los correos quedaba en evidencia cómo la presidenta de la Convención Nacional Demócrata, Debbie Wasserman Schultz, junto a otros funcionarios, planearon la forma de perjudicar la campaña de Bernie Sanders para favorecer a Clinton. Se logró comprobar así algunas de las denuncias de la campaña de Sanders acerca de los obstáculos que la misma presidenta de la Convención había puesto a su campaña durante las primarias. El escándalo ya le costó el puesto a Wasserman Schultz, ante demandas de responsabilidad por una conducta considerada inapropiada.

La opacidad con la que actúan quienes están llamados a representarnos y la carencia de acceso suficiente a información que debiera ser pública, ha motivado el actuar de organizaciones y hackers anónimos, como aquellos que revelaron la información en casos como Hacking Team y los Panama Papers, hace algún tiempo. Sin su participación, probablemente la opinión pública jamás habría llegado a saber lo que estaba sucediendo en sus países, frente a sus propios ojos. Sirven estos actos como una forma de desnudar al poder y poner luz sobre la excesiva opacidad en que se desempeñan labores de interés público, que pesa sobre el derecho fundamental de acceso a la información pública, y en general, sobre la posibilidad de poder hacer un adecuado control ciudadano del ejercicio de los poderes.

En este sentido, la actividad desarrollada por quienes liberan la información constituye una forma de lograr transparencia de manera forzada, fiscalizando paralelamente a quienes ejercen poder incluso donde la ley no ha sido capaz de llegar. Desde esta perspectiva, se trata de una actividad que beneficia y fortalece las democracias.

Sin embargo, desde la perspectiva opuesta, se trata de actos que arriesgan seriamente a las personas cuyas comunicaciones salen a la luz.

Por una parte, porque ponen de manifiesto la vulnerabilidad de los sistemas frente a ataques informáticos de distinta naturaleza, que culminan en accesos no autorizados a esas comunicaciones. No todas las personas manejan el mismo nivel de influencia en las esferas de poder políticos; pero sí están sujetas a la misma vulnerabilidad, o incluso mayor, si sus sistemas de comunicación son los mismos.

Por otra parte, porque la privacidad se ve comprometida con cada acto de publicación de mensajes que, en principio, entendemos como comunicaciones privadas dignas de protección. El interés sobre el contenido de esos correos, no puede hacernos olvidar la importancia del resguardo de los derechos de quienes los intercambian. Esto es todavía más grave cuando, además de haber una intrusión en mensajes de correo electrónico, existe publicación de los mismos. Es decir, cuando quienes no son parte del poder ven expuesta al público su información personal.

Sería ilusorio no reconocer que pueden existir riesgos asociados y ejemplos recientes dan cuenta de ello. Así sucedió hace muy poco en Turquía, país en que tras un intento de golpe de estado, se filtró una gran cantidad de correos electrónicos, supuestamente provenientes del presidente en ejercicio, Erdogan, en la que también se vio involucrada Wikileaks. El Gobierno turco ha ordenado el bloqueo de redes sociales en varias ocasiones, provocando un rechazo generalizado por parte de los defensores de las libertades en internet. Sin embargo, la revisión posterior de la información liberada dio cuenta de que, en realidad, no había información que emanara de Erdogan o de su círculo cercano, y lo que es aún más grave, hizo públicos datos personales de cientos de mujeres turcas que podrían ver seriamente afectada su seguridad personal.

Esta acción ha levantado fuertes críticas contra Wikileaks. Este escenario podría terminar restándole credibilidad a un mecanismo de transparencia que ha probado ser muy útil en otros casos; e incluso, en el largo plazo, justificando a los ojos del público el bloqueo de sitios o apagones de internet, como parte de una estrategia de defensa de los gobiernos, diluyendo así el objetivo inicialmente perseguido.

En síntesis, tanto el hackeo como la publicación de las filtraciones son formas de participar del debate público que pueden significar grandes beneficios, pero a la vez acarrean grandes riesgos. Es importante terminar con la persecución de whistleblowers y darles protección legal, y a la vez, participar del debate público y mantener prácticas responsables en la publicación de filtraciones cuando pueda haber personas involucradas.

Una de las formas de responsabilidad es comprender el contexto en que se producen esas filtraciones y trabajar con personas locales para reducir riesgos asociados a la publicación de información. Son estas mismas razones las que han llevado incluso a levantar plataformas digitales para facilitar la denuncia de actos de corrupción, resguardando el anonimato y protegiendo las comunicaciones mediante el uso de cifrado. Ejemplos notables en Latinoamérica existen con Mexicoleaks, inaugurada a principios del año 2015, y más recientemente con Peruleaks.

Los riesgos de las filtraciones existen, y pueden constituir un precio demasiado alto a pagar para suplir un adecuado acceso a la información de interés público. Mientras reglas e instituciones no respondan adecuadamente a las necesidades de transparencia, el acceso seguirá existiendo por vías alternativas, más o menos formales, que están lejos de ser neutrales en su accionar, con relativos grados de confiabilidad y, aún más lamentablemente, sin el necesario compromiso por el respecto de las garantías fundamentales de los ciudadanos.

Una filtración que pone en peligro la democracia mexicana

Los datos de 93.4 millones de votantes mexicanos se filtraron y publicaron en el servidor de Amazon Cloud. Se trata de identificaciones básicas, fotografías y direcciones del 75% de la población mexicana. El investigador Chris Vickery dio con la información. No estaba protegida por contraseñas, no estaba en venta y cualquiera la podía bajar. Hizo lo posible por retirarla cuanto antes. Denunció ante Amazon, alertó al Departamento de Estado de Estados Unidos y previno a la Embajada de México en Estados Unidos. Le hicieron poco caso.

Se trata de una grave vulneración de normas básicas de protección de la información personal: una enorme cantidad de datos personales disponible en un servidor extranjero, sin medidas de protección, por largo tiempo. La base de datos estuvo en línea durante ocho días hasta que el Instituto Nacional Electoral (INE) se dio cuenta y pudo eliminarla. Según declaraciones del presidente del INE, no es que alguien hubiera hackeado o infiltrado la información, sino que existió un manejo negligente por parte de uno de los estamentos más cuestionados del sistema mexicano: los partidos políticos.

Los datos que aparecieron en internet coinciden con la lista de electores que había sido entregada en febrero de 2015. Según la ley, un mes antes de las elecciones se entrega a los partidos políticos la lista final de las personas que obtuvieron su credencial para votar, para que puedan vigilar y revisar la información. Por si fuera poco, a cada partido se le entregan casi 64 millones de pesos (1.100 millones de dólares) para llevar a cabo estas tareas.

Durante el tiempo que la información estuvo en línea, cualquier persona la pudo descargar. En un país con altos índices de secuestro y extorsión, el crimen organizado podría ser el primero en beneficiarse. Basta un nombre y apellido para saber dónde vive la persona, cuántos años tiene y cómo se llaman sus padres. En términos de acoso por razones de género también es complicado: de las redes al mundo real, cualquiera podría seguirnos y acosarnos en nuestro hogar. El caso de la periodista Andrea Noel es ejemplar: fue acosada en la calle, lo denunció por internet y en una ocasión la siguieron hasta su casa para amenazarla y apuntarle con un láser en la frente.

Fue posible deducir que el origen de la filtración fue un partido debido a que la llave USB en que el INE entregó la información tiene una “huella digital. Estos datos son estrictamente confidenciales y no pueden comunicarse o darse a conocer. Por lo mismo ya hay un procedimiento ante la Fiscalía Especial de Delitos Electorales. La sanción para la persona que lo haya filtrado, según el Código Penal, va de uno a cinco años de cárcel, además de la suspensión de su cargo.

Sin embargo, aunque exista una reacción penal, estamos frente a un caso de negligencia inexcusable. No es solo un atentado a la privacidad, a la seguridad y un riesgo a las personas sino que compromete el sistema democrático mexicano.

El actuar irresponsable de los partidos políticos amerita no sólo una sanción, sino que además se debe notificar y reparar el daño a todos los ciudadanos afectados. Pero más importante es que filtraciones como esta no deberían ocurrir. Todos los países de la región necesitamos mejores leyes y mecanismos para asegurar una protección óptima de la información personal. En el contexto de la discusión de la Ley General de Datos Personales en Posesión de Sujetos Obligados, esto debe tomarse en cuenta.