La Oficina del Comisionado de Información (ICO) ha descubierto que unos fallos básicos de seguridad permitieron a los piratas informáticos acceder a los datos personales de 40 millones de votantes británicos que obran en poder de la Comisión Electoral del Reino Unido (CE). Tras una investigación sobre la filtración de datos de agosto de 2021, la ICO descubrió que la Comisión Electoral no disponía de las medidas de seguridad adecuadas para proteger la información personal que tenía. El regulador reveló que los atacantes accedieron con éxito al servidor Microsoft Exchange de la Comisión haciéndose pasar por una cuenta de usuario y explotando vulnerabilidades de software conocidas en el sistema que no habían sido protegidas. Estas fallas estaban en la cadena de vulnerabilidades de ProxyShell, y los atacantes pudieron crear shells web en el sistema. La Comisión Electoral no protegió los datos de los votantes Aunque los ciberdelincuentes habían accedido a los sistemas de la CE en agosto de 2021, no fue hasta octubre de 2022 cuando se detectó una filtración de datos. La filtración se identificó cuando un empleado informó de que se estaban enviando correos electrónicos no deseados desde el servidor Exchange de la Comisión Electoral, lo que llevó al descubrimiento de malware. Luego, se apagó y borró el servidor Exchange antes de reiniciarlo. Antes de que se produjera la detección, los actores de la amenaza tuvieron acceso a información personal contenida en el Registro Electoral en varias ocasiones sin el conocimiento de la Comisión. Esto incluía los datos personales de cualquier persona en el Reino Unido que estuviera registrada para votar entre 2014 y 2022. La Comisión reveló públicamente la violación en agosto de 2023 y la describió como un «ciberataque complejo». El gobierno del Reino Unido atribuyó posteriormente el ataque a actores de amenazas afiliados al estado de China en marzo de 2024. La ICO identificó varias fallas de seguridad «básicas» por parte de la Comisión que permitieron que ocurriera el ataque: No garantizar que sus servidores se mantuvieran actualizados con las últimas actualizaciones de seguridad, con parches para las vulnerabilidades explotadas publicados en abril y mayo de 2021 No existían políticas adecuadas de gestión de contraseñas en el momento del incidente, y una de las cuentas comprometidas todavía usaba una contraseña que se le asignó a la cuenta en el momento de su creación Stephen Bonner, Comisionado Adjunto de la ICO, comentó: «La Comisión Electoral maneja la información personal de millones de personas, todas las cuales esperan que sus datos estén en buenas manos». «Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como la aplicación efectiva de parches de seguridad y la gestión de contraseñas, es muy probable que esta violación de datos no hubiera ocurrido. Al no instalar las últimas actualizaciones de seguridad con prontitud, sus sistemas quedaron expuestos y vulnerables a los piratas informáticos», agregó Bonner. En septiembre de 2023, la Comisión admitió haber fallado una prueba crucial de ciberseguridad al mismo tiempo que los piratas informáticos violaron sus sistemas. No hay evidencia de uso indebido de datos Bonner aseguró al público que, a pesar del número «inaceptablemente alto» de personas afectadas por la violación, no hay evidencia de que se haya hecho un uso indebido de datos personales ni de que se haya causado ningún daño directo. La ICO también reconoció que la Comisión ha tomado varias medidas correctivas para mejorar su seguridad después del ataque. Esto incluye implementar un plan de modernización tecnológica, desarrollar controles de políticas de contraseñas dentro de su Active Directory y aplicar la autenticación multifactor (MFA) para todos los usuarios. Bonner agregó: «Esta acción debería servir como recordatorio a todas las organizaciones de que deben tomar medidas proactivas y preventivas para garantizar la seguridad de sus sistemas. ¿Sabe si su organización ha instalado las últimas actualizaciones de seguridad? Si no es así, pone en peligro la información personal de las personas y se arriesga a medidas coercitivas, incluidas multas». Lea ahora: La ICO reprende al Ayuntamiento de Londres por una violación masiva de datos