Ilustración/Leonel Pacas

Hacienda publicó datos privados de millones de salvadoreños

La información confidencial de más de cinco millones de salvadoreños se encuentra en riesgo después de que el Ministerio de Hacienda hiciera público el acceso a estos datos en su página web, desde agosto de 2019. La asociación Tracoda interpuso una denuncia ante el Instituto de Acceso a la Información Pública para que emita una medida cautelar por la fuga de información.

Share on facebook
Share on twitter
Share on whatsapp

Datos personales de más de cinco millones de ciudadanos salvadoreños, en los que se incluye su nombre completo, el número del Documento Único de Identidad (DUI), la fecha de nacimiento, el sexo, si la persona se encuentra viva o no, entre otros datos, están disponibles para ser descargados con facilidad desde la página web del Ministerio de Hacienda.

Esta situación ha generado preocupación entre especialistas del área de informática y seguridad. Permitir que este tipo de información esté pública, con la posibilidad de que cualquier persona la descargue, viola el derecho a la confidencialidad y protección de datos personales de todos los ciudadanos afectados. Además de ponerlos en riesgo de ser víctimas de distintos tipos de delitos.

GatoEncerrado pudo verificar que no es difícil encontrar el sitio para descargar estas bases de datos. Al realizar una búsqueda de datos en Google, no relacionada con la mencionada fuga de información, se dio con un directorio albergado en un servidor del Ministerio de Hacienda. En este se encuentran como archivos descargables documentos que contienen los registros de datos personales de más de cinco millones de salvadoreños. Debido a la cantidad de registros encontrados, es posible que se trate de la información de los contribuyentes inscritos en Hacienda.

Estos archivos, con información privada, pueden descargarse de la misma forma que otros documentos y formularios de uso común para los usuarios de Hacienda.

La Asociación Transparencia, Contraloría Social y Datos abiertos (Tracoda) realizó un examen del contenido de los archivos indexados y detectó que se encuentran disponibles al público desde al menos agosto del año 2019. Esto implica que, desde entonces, miles de personas pudieron haber tenido acceso a esta información y utilizarla sin ningún tipo de regulación.

Ante la gravedad del hallazgo, la organización Tracoda interpuso una denuncia al Instituto de Acceso a la Información Pública (IAIP), en la que solicitó una medida cautelar para que ordene al titular de Hacienda que, de forma inmediata, tome las medidas necesarias para quitar los archivos que se encuentran disponibles para descargar.

Expertos informáticos dijeron a GatoEncerrado que es muy posible que esta fuga de información se haya dado por un error humano, pero que de todas formas es un hecho grave que vulnera la confidencialidad de la información personal de millones de salvadoreños.

Los datos que se encuentran públicos, como el nombre completo y el número de DUI, son considerados confidenciales por la Ley de Acceso a la Información Pública (LAIP). Esta misma ley pone la responsabilidad en los entes públicos, que manejan esta información, para que se aseguren de proteger los datos personales, su custodia y conservación.

Laura Hernández, una abogada especialista en tecnología y datos, señaló que hay riesgos en que esta información personal se encuentre disponible al público. 

“Estos datos han pasado a ser divulgados para el conocimiento de cualquier persona y no sabemos qué tipo de uso le pueden dar. Pueden ser usados para perfilar a alguien o pueden llegar a ser usados en delitos graves, como el acoso, tener acceso a datos financieros de otras personas. Un sinfín de usos en los que se pueden ver afectados mis derechos fundamentales”, dijo.

La abogada agregó que, si se ha revelado el número de DUI, Hacienda no ha cumplido con la obligación de resguardar este tipo de información confidencial. Además, que ha sido una divulgación sin el consentimiento de ninguna de estas personas.

Hernández también teme que este tipo de casos se den con frecuencia en El Salvador a medida que se incremente el uso de los distintos tipos de tecnologías en empresas y entidades públicas.

“Esta filtración de información o fuga de datos se da porque este tratamiento de datos no viene acompañado de medidas técnicas y no técnicas que aseguren la confidencialidad de la información. Ahí estamos fallando, que se divulgue esta información que debería resguardarse, ya sea por error o negligencia”, expuso.

Para Wendy Criollo, ingeniera en sistemas con estudios en seguridad y gestión de riesgos informáticos, lo ocurrido en el portal de Hacienda, a nivel técnico, no se trata de un problema sencillo.

Señaló que el problema puede venir desde el momento en que las autoridades de Hacienda decidieron el perfil de la persona que asumiría el cargo en materia de seguridad.

“En este caso de personas que se encargan del respaldo de los datos, tienen que tener un conocimiento bien cimentado. Uno, por la responsabilidad del manejo de la información; y dos, por la repercusión que puede tener para alguna institución en particular”, explicó.

En su experiencia, los errores humanos son recurrentes en el área de la tecnología. Señaló que a veces son los mismos informáticos los últimos en darse cuenta de este tipo de fugas. Normalmente son usuarios de los sitios quienes se dan cuenta, pero deciden no reportar por temor a ser acusados de algún delito.

“Un error de este tipo es bastante crítico, porque se expone información personal. Estamos hablando de información sensible”, dijo Criollo.

La experta detalló que en este caso pudo tratarse de “datos en reposo”, que fueron almacenados para un fin específico, como un respaldo, pero no se tomó ninguna medida para protegerlos. Por ejemplo, los archivos no están cifrados ni se pide ninguna contraseña ni nombre de usuario para entrar a la página donde se encuentran. Esto último, en el caso de que se tratara de información a la que solo deberían tener acceso empleados autorizados de Hacienda.

Señala que lo grave del asunto es que, al tener estos datos, personas con intenciones maliciosas pueden cruzarlos con otros datos como números telefónicos o correos electrónicos. Pueden facilitar el realizar delitos como phishing, es decir engañar o estafar a personas para que brinden más información personal, como contraseñas o datos bancarios. Incluso engañarlos para que descarguen programas maliciosos que faciliten la extracción de más información contenida en dispositivos como celulares o computadoras.

Este tipo de datos también podría facilitar que las personas con acceso a estos puedan realizar usurpación de identidad. Hay muchos lugares donde solo le piden datos de nombre, fecha de nacimiento o número de DUI como modo de confirmación de identidad.

“Un simple error puede llevarnos a una serie de delitos informáticos”, subrayó Criollo.

La ingeniera agregó que el equipo encargado del manejo de estos datos en Hacienda debería tener habilitadas alertas como parte de auditoria de sistemas. Pero al ver que esta información ha estado disponible para descarga desde agosto del año pasado, es posible que no se ha cumplido con este tipo de auditoría.

Criollo también cuestionó que este es uno de los principales problemas de que la información de las personas esté dispersas entre tantas instituciones. “¿Qué le da garantía jurídica a alguien para individualizar la fuga de estos datos?”.

Funcionarios de Hacienda sin cumplir sus responsabilidades

La denuncia de Tracoda se enfocó contra el director y subdirector de la Dirección Nacional de Administración Financiera e Innovación (Dinafi) de Hacienda. La razón de por qué la denuncia va dirigida contra ellos se debe a las características de sus puestos y cómo el no haber cumplido con sus responsabilidades ha llevado al riesgo de la confidencialidad de millones de personas.

“La conducta típica atribuida a los denunciados es la contemplada en el literal b del apartado de infracciones muy graves comprendida dentro del artículo 76 de la LAIP, el cual dice así: ‘Son infracciones muy graves (…) b) Entregar o difundir información reservada o confidencial’”, expuso la organización en su denuncia.

Tracoda señaló que en el manual de puestos del Ministerio de Hacienda, actualizado hasta junio de este año, el director de la Dinafi tiene como responsabilidad: “Normar las políticas y asegurar las buenas prácticas para el funcionamiento del portal institucional (intranet/internet) del Ministerio de Hacienda y el Portal de Transparencia Fiscal; normar las políticas y asegurar las buenas prácticas para el funcionamiento del portal institucional (intranet/internet) del Ministerio de Hacienda y el Portal de Transparencia Fiscal; normar la implantación del Sistema de Gestión de Seguridad de la Información en el Ministerio de Hacienda”.

Esto implica que le corresponde garantizar las buenas prácticas para el funcionamiento de los portales de Hacienda. Por lo tanto debió supervisar que no se diera la mala práctica, ya sea por negligencia o error, de alojar datos confidenciales en servidores de acceso público.

Mientras que al subdirector del Dinafi le corresponde supervisar la implementación del Sistema de Gestión de Seguridad de la Información de Hacienda, que tiene entre sus objetivos garantizar la confidencialidad de la confirmación. Sin embargo, durante casi un año, información de carácter confidencial ha estado abierta al público.

“Es evidente que no se implementaron mecanismos de evaluación de riesgo y menos de aplicación de controles para asegurar la confidencialidad de la información del Ministerio de Hacienda, por lo cual se puede atribuir responsabilidad directa al denunciado. Aún en el caso de que estas medidas se hubiesen adoptado, ciertamente fueron ineficaces o no se evaluó su eficacia, lo cual también es responsabilidad del encargado de implantar dicho sistema”, expuso Tracoda.

El generalizado problema del mal manejo de la información

Para la abogada Hernández, este tipo de fuga de información y mal manejo de los datos continuará ocurriendo en el país, a menos que se dé un proceso de formación y regulación tanto con las instituciones públicas como con las empresas privadas.

Hernández sostuvo que muchas entidades no saben que al hacer un mal uso de la información o divulgación sin consentimiento de la persona pueden estar sujetos a ser denunciados por el incumplimiento de distintas leyes, incluida la ley de delitos informáticos.

“En parte hay falta de cultura, de empresas, instituciones, personas, sobre la importancia de la protección de datos personales. También falta de conocimientos sobre los riesgos legales”, señaló.

Puso como ejemplo una compañía telefónica que, ante las circunstancias provocadas por la pandemia actual, ha habilitado un sitio web para pagar directamente las facturas. Sin embargo, no ha implementado protocolos de autenticación para confirmar la identidad de quien revisa el número telefónico. Basta ingresar el número de teléfono para poder observar cuánto debe esa persona a la empresa. Tampoco tiene una medida para descartar que se trate de un bot que esté ingresando distintos números telefónicos para chequear si pertenecen a esa red telefónica.

En vista del cambio de condiciones dejado por el nuevo coronavirus, el uso de la tecnología para realizar distintos procesos que antes se hacían de forma presencial se seguirá generalizando. Pero Hernández advirtió que si no se toman en cuenta las medidas de protección de datos, se podría generar otro tipo de problemas.

“Estamos creando un problema de mal manejo de la información, de uso no responsable de las tecnologías. Nos volcamos casi que totalmente al uso de las tecnologías, pero no nos aseguramos que se hiciera bien. Puede tener consecuencias legales y en la protección y goce de los derechos de los ciudadanos”, expone Hernández.

La ingeniera Criollo hizo énfasis en la necesidad de que las entidades gubernamentales tomen en serio el buen manejo de la información, que apliquen protocolos o políticas para su resguardo. Señaló que trabajan con masas de datos, que contienen información personal o sensible que no puede estar expuesta.

“Si tenemos la información correcta en manos de las personas incorrectas se puede obrar mal”, advirtió.

Más de GatoEncerrado

Publicidad