El INAI arriesgó la información de participantes en concurso de carteles

MÉXICO, D.F., (apro).- El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) puso en riesgo la información de los participantes en un concurso sobre carteles de avisos de privacidad para migrantes.

El error consistió en colocar esos datos en una página dentro de las carpetas que hospedaban el contenido del sitio, sin protección alguna.

Aunque la página no estaba vinculada desde la web de portada del sitio del certamen, cualquiera podía encontrar su información si insertaba su nombre en un motor de búsqueda.

Incluso, era posible descargar su contenido en formato Excel que estaba disponible en una de las ventanas del sitio, misma que incluía las direcciones de correo electrónico de cada participante.

La organización Son Tus Datos, dedicada a la promoción y defensa de la privacidad de los usuarios de Internet y tecnologías de la información, descubrió la equivocación el pasado 10 de julio. De inmediato avisó al INAI.

“El problema fue poner información sensible en la capeta del servidor y no colocar el metatag para evitar que los buscadores indexaran la página. Es incompetencia, no se hizo un buen trabajo. Hubo riesgo para los titulares de datos personales”, dijo Cedric Laurant, co-fundador de STD, a Apro.

Las meta-etiquetas son unas líneas de código HTML que se incorporan en la página principal de un sitio para indicar a los buscadores cómo agregar esa información.

El INAI obtuvo datos como nombre, dirección, correo electrónico, credenciales del INE en formato digital, centro y área de estudios y huella digital.

La vulneración perjudicó a unas 150 personas. La información permaneció en la ciberautopista desde noviembre del año pasado hasta inicios de julio en buscadores en Google, Bing e Ixquick.

STD le informó del error al Francisco Javier Acuña, comisionado del IFAI, y a Adriana Báez, directora general de Autorregulación, quien convocó al concurso.

De inmediato, el instituto avisó a los titulares de los datos sobre la vulneración y retiró los datos.

La Ley Federal de Protección de Datos Personales en Poder de Particulares obliga a los entes privados a resguardar adecuadamente esa información, pero no abarca a las instituciones federales, estatales y municipales.

El proyecto de ley que se encuentra en el Senado de la República sí obliga a esas instancias a proteger los datos.

“Es difícil saber si hubo mal uso de la información. Por ejemplo, en EU se analiza el daño posible y las cortes lo evalúan según la jurisdicción. Pero es difícil demostrarlo”, aseguró Laurant.

Se ignora si ha habido más vulneraciones de datos en el sector público, pues el marco legal no obliga a su revelación.

Además, es difícil medir el grado de seguridad de la información en manos del Estado. Sin embargo, el Informe General de la Cuenta Pública 2013, referente a la incorporación de tecnologías de la Información en el ejercicio gubernamental, señala que existen situaciones de vulnerabilidad respecto a la utilidad y a la oportunidad de su aplicación.

“Las entidades públicas utilizan paquetes informáticos alternos que carecen de integridad y seguridad, por lo que no se garantiza su correcto funcionamiento”, cita el documento, en referencia a software de código abierto o versiones pirata.

Asimismo, asegura que se identificaron sistemas obsoletos que resultan ineficientes y carecen de controles que garanticen la integridad, confidencialidad, disponibilidad y calidad de la información y la ejecución parcial de sistemas de gestión de seguridad para la protección de la información de las entidades.

El cuidado de los datos en poder público se situó en la palestra internacional, luego de que el pasado 9 de julio la Oficina de Administración de Personal de Estados Unidos reconoció una masiva vulneración de su sistema que comprometió la información de más de 21 millones de trabajadores federales, candidatos a un empleo y sus familias.

La invasión expuso las responsabilidades laborales, desempeño y capacitación de los empleados.

Desde 2014, la organización no gubernamental Privacy Rights Clearinghouse ha registrado 35 vulneraciones de instituciones públicas de EU que implicaron a 23 millones 325 mil 755 récords.

El plazo del concurso corrió del 1 de octubre al 28 de noviembre de 2014 y la entrega del premio tuvo lugar el 28 de enero último.

Comentarios