El Instituto Nacional Electoral (INE) presentó recientemente una denuncia alarmante sobre la venta de datos biométricos de 125 millones de ciudadanos mexicanos. Sin embargo, esta red criminal no solo trafica con datos electorales; también comercializa bases de datos bancarias, lo que pone en peligro la seguridad financiera de millones de personas. Más allá del daño directo, lo preocupante es cómo estos ciberdelincuentes siguen operando, exponiendo fallos graves en las defensas técnicas de varias instituciones. Aquí te explicamos los principales errores y vulnerabilidades que han permitido que estos delitos se sigan cometiendo.

Errores técnicos en la protección de datos biométricos del INE

1. Inseguridad en la segmentación de bases de datos: Las bases de datos del INE, que incluyen información crítica como huellas dactilares y fotos, debieron estar mejor segmentadas y cifradas. La falta de un enfoque robusto de segmentación y cifrado ha permitido que estas bases de datos se extraigan fácilmente.

2. Auditorías insuficientes: El INE mencionó que no ha encontrado pruebas del robo de sus bases de datos, lo que sugiere una falta de auditorías de seguridad proactivas. Sin herramientas adecuadas de monitoreo y detección de fugas, la posibilidad de identificar actividades sospechosas es muy limitada.

3. Fallas en la autenticación y control de acceso: Este es uno de los puntos más críticos. Las bases de datos de biométricos no solo deberían estar cifradas, sino que también deberían tener un control de acceso robusto, donde solo un número muy limitado de empleados pudiera acceder a ellas. La falta de medidas como autenticación multifactor ha facilitado el acceso no autorizado.

Vulnerabilidades explotadas en la venta de datos bancarios

Los ciberdelincuentes también comercializan datos bancarios sensibles, destacando fallas críticas en el manejo de la ciberseguridad por parte de instituciones como BBVA, Santander, Citibanamex y otros. Las fallas técnicas más evidentes son:

1. Escasa protección frente a filtraciones internas: Los bancos han sido señalados por no implementar políticas estrictas que limiten el acceso interno a sus bases de datos, lo que abre puertas a empleados maliciosos o a errores humanos que facilitan la fuga de información.

2. Falta de cifrado de datos sensibles: A pesar de los avances en la criptografía, las bases de datos que se trafican en la red muchas veces contienen información bancaria sin cifrar. Esto indica una falta de cumplimiento con las normativas de protección de datos que requieren el cifrado de la información más sensible, como números de cuentas y datos de tarjetas.

3. Ataques de scraping: La banda también utiliza técnicas de scraping para recolectar información de plataformas públicas. Esto señala una falta de mecanismos robustos en los sitios web y aplicaciones de bancos para protegerse contra este tipo de ataques, como las soluciones CAPTCHA o la detección de bots.

Modus operandi: El uso de plataformas públicas y cifradas

Aunque la banda criminal originalmente operaba a través de un sitio en Shopify, su migración a redes sociales y plataformas cifradas como Telegram y YouTube evidencia su habilidad para adaptarse a los cambios. Las plataformas no tienen un control exhaustivo sobre las actividades de estos grupos, lo que facilita su crecimiento. En este caso:

1. Migración de plataformas: La facilidad con la que este grupo pudo cerrar su sitio y continuar operando en plataformas públicas y cifradas muestra que no existen mecanismos para bloquear o monitorear efectivamente sus actividades delictivas, ni un seguimiento forense adecuado.

2. Uso de criptomonedas y transacciones vía SPEI: Aunque las autoridades mexicanas podrían rastrear pagos a través de SPEI, la falta de coordinación entre instituciones financieras y cuerpos de seguridad ha permitido que estas transacciones se sigan realizando sin mayor control.

La venta de datos biométricos del INE y de bases bancarias demuestra una serie de fallos técnicos tanto en las instituciones gubernamentales como en las empresas privadas. Es crucial que se fortalezcan las auditorías de seguridad, se implementen políticas estrictas de control de acceso, se asegure el cifrado de la información y se mejore la colaboración entre las instituciones para rastrear y desmantelar estas redes. De lo contrario, millones de mexicanos seguirán siendo vulnerables a fraudes de identidad y otros delitos graves.