Un ciberataque a la Comisión Electoral del Reino Unido que dio lugar a la filtración de datos de los registros de votantes de 40 millones de personas habría sido totalmente evitable si la organización hubiera utilizado medidas de seguridad básicas, según las conclusiones de un informe condenatorio del organismo de control de la protección de datos del Reino Unido publicado esta semana. El informe publicado por la Oficina del Comisionado de Información del Reino Unido el lunes culpó a la Comisión Electoral, que mantiene copias del registro británico de ciudadanos con derecho a voto en las elecciones, de una serie de fallos de seguridad que llevaron al robo masivo de información de los votantes a partir de agosto de 2021. La Comisión Electoral no descubrió el compromiso de sus sistemas hasta más de un año después, en octubre de 2022, y tardó hasta agosto de 2023 en revelar públicamente la filtración de datos que duró un año. La Comisión dijo en el momento de la divulgación pública que los piratas informáticos irrumpieron en los servidores que contenían su correo electrónico y robaron, entre otras cosas, copias de los registros electorales del Reino Unido. Esos registros almacenan información sobre los votantes que se registraron entre 2014 y 2022, e incluyen nombres, direcciones postales, números de teléfono e información no pública de los votantes. El gobierno del Reino Unido atribuyó posteriormente la intrusión a China, y altos funcionarios advirtieron que los datos robados podrían utilizarse para «espionaje a gran escala y represión transnacional de disidentes y críticos percibidos en el Reino Unido». China negó su participación en la violación. La ICO emitió su reprimenda formal a la Comisión Electoral el lunes por violar las leyes de protección de datos del Reino Unido, añadiendo: «Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como la aplicación de parches de seguridad eficaces y la gestión de contraseñas, es muy probable que esta violación de datos no hubiera ocurrido». Por su parte, la Comisión Electoral admitió en una breve declaración tras la publicación del informe que «no se habían establecido suficientes protecciones para evitar el ciberataque a la Comisión». Hasta el informe de la ICO, no estaba claro exactamente qué llevó a la vulneración de la información de decenas de millones de votantes del Reino Unido, o qué se podría haber hecho de forma diferente. Ahora sabemos que la ICO culpó específicamente a la Comisión por no parchear las «vulnerabilidades de software conocidas» en su servidor de correo electrónico, que fue el punto inicial de intrusión de los piratas informáticos que se llevaron montones de datos de votantes. El informe también confirma un detalle, según informó TechCrunch en 2023, de que el correo electrónico de la Comisión era un servidor Microsoft Exchange autoalojado. En su informe, la ICO confirmó que al menos dos grupos de piratas informáticos maliciosos irrumpieron en el servidor Exchange autoalojado de la Comisión durante 2021 y 2022 utilizando una cadena de tres vulnerabilidades denominadas colectivamente ProxyShell, que permitieron a los piratas informáticos entrar, tomar el control y plantar código malicioso en el servidor. Microsoft lanzó parches para ProxyShell varios meses antes, en abril y mayo de 2021, pero la Comisión no los había instalado. En agosto de 2021, la agencia estadounidense de ciberseguridad CISA comenzó a dar la voz de alarma de que piratas informáticos maliciosos estaban explotando activamente ProxyShell, momento en el que cualquier organización que tuviera un proceso de aplicación de parches de seguridad eficaz ya había implementado correcciones meses antes y ya estaba protegida. La Comisión Electoral no era una de esas organizaciones. “La Comisión Electoral no tenía un régimen de parches adecuado en el momento del incidente”, se lee en el informe de la ICO. “Esta falla es una medida básica”. Entre los otros problemas de seguridad notables descubiertos durante la investigación de la ICO, la Comisión Electoral permitió que se adivinaran contraseñas que eran “altamente susceptibles” y que la Comisión confirmó que era “consciente” de que partes de su infraestructura estaban desactualizadas. El comisionado adjunto de la ICO, Stephen Bonner, dijo en una declaración sobre el informe y la reprimenda de la ICO: “Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como la aplicación eficaz de parches de seguridad y la gestión de contraseñas, es muy probable que esta violación de datos no hubiera ocurrido”. ¿Por qué la ICO no multó a la Comisión Electoral? Un ciberataque totalmente evitable que expuso los datos personales de 40 millones de votantes del Reino Unido podría parecer una infracción lo suficientemente grave como para que la Comisión Electoral fuera penalizada con una multa, no solo con una reprimenda. Sin embargo, la ICO solo ha emitido una reprimenda pública por la descuidada seguridad. Los organismos del sector público se han enfrentado a sanciones por infringir las normas de protección de datos en el pasado. Pero en junio de 2022, bajo el gobierno conservador anterior, la ICO anunció que probaría un enfoque revisado para la aplicación de la ley en los organismos públicos. El regulador dijo que el cambio de política significaba que era poco probable que las autoridades públicas vieran grandes multas impuestas por infracciones durante los próximos dos años, incluso cuando la ICO sugirió que los incidentes seguirían siendo investigados a fondo. Pero se le dijo al sector que esperara un mayor uso de reprimendas y otros poderes de aplicación, en lugar de multas. En una carta abierta que explicaba la medida en ese momento, el comisionado de información John Edwards escribió: «No estoy convencido de que las grandes multas por sí solas sean un elemento disuasorio tan eficaz dentro del sector público. No afectan a los accionistas o directores individuales de la misma manera que lo hacen en el sector privado, sino que provienen directamente del presupuesto para la prestación de servicios. El impacto de una multa del sector público también suele recaer sobre las víctimas de la infracción, en forma de presupuestos reducidos para servicios vitales, no sobre los perpetradores. En efecto, las personas afectadas por una infracción son castigadas dos veces”. A primera vista, podría parecer que la Comisión Electoral tuvo la buena suerte de descubrir su infracción dentro del ensayo de dos años de la ICO de un enfoque más suave para la aplicación sectorial. En sintonía con la declaración de la ICO de que probaría menos sanciones para las violaciones de datos del sector público, Edwards dijo que el regulador adoptaría un flujo de trabajo más proactivo de contacto con los altos líderes de las autoridades públicas para tratar de elevar los estándares e impulsar el cumplimiento de la protección de datos en todos los organismos gubernamentales a través de un enfoque de prevención de daños. Sin embargo, cuando Edwards reveló el plan para probar la combinación de una aplicación más suave con un acercamiento proactivo, admitió que requeriría esfuerzo en ambos extremos, escribiendo: “[W]No podemos hacer esto solos. Debe haber responsabilidad para lograr estas mejoras en todas las partes». Por lo tanto, la violación de la Comisión Electoral podría plantear preguntas más amplias sobre el éxito del juicio de la ICO, incluido si las autoridades del sector público han cumplido su parte del trato que se suponía que justificaba la aplicación más suave. Ciertamente, no parece que la Comisión Electoral fuera lo suficientemente proactiva a la hora de evaluar los riesgos de violación en los primeros meses del juicio de la ICO, es decir, antes de descubrir la intrusión en octubre de 2022. La reprimenda de la ICO que califica el fracaso de la Comisión para parchear una falla de software conocida como una «medida básica», por ejemplo, suena como la definición de una violación de datos evitable que el regulador había dicho que quería que su cambio de política del sector público purgara. En este caso, sin embargo, la ICO afirma que no aplicó la política de aplicación más suave del sector público en este caso. En respuesta a las preguntas sobre por qué no impuso una sanción a la Comisión Electoral, la portavoz de la ICO, Lucy Milburn, dijo a TechCrunch: «Tras una investigación exhaustiva, no se consideró una multa para este caso. A pesar de la cantidad de personas afectadas, los datos personales involucrados se limitaron principalmente a los nombres y direcciones contenidos en el Registro Electoral. Nuestra investigación no encontró ninguna evidencia de que los datos personales se hayan utilizado indebidamente, o de que esta violación haya causado algún daño directo”. “La Comisión Electoral ha tomado ahora las medidas necesarias que esperaríamos para mejorar su seguridad después de la filtración, incluida la implementación de un plan para modernizar su infraestructura, así como controles de políticas de contraseñas y autenticación multifactor para todos los usuarios”, agregó el portavoz. Como lo indica el regulador, no se emitió ninguna multa porque no se hizo un mal uso de los datos, o mejor dicho, la ICO no encontró ninguna evidencia de mal uso. Simplemente exponer la información de 40 millones de votantes no cumplió con los requisitos de la ICO. Uno podría preguntarse cuánto de la investigación del regulador se centró en averiguar cómo se pudo haber hecho un mal uso de la información de los votantes. Volviendo al juicio de cumplimiento del sector público de la ICO a fines de junio, cuando el experimento se acercaba a la marca de los dos años, el regulador emitió una declaración diciendo que revisaría la política antes de tomar una decisión sobre el futuro de su enfoque sectorial en otoño. Todavía está por verse si la política se mantiene o si se adoptan menos reprimendas y más multas por las violaciones de datos del sector público. En cualquier caso, el caso de la Comisión Electoral muestra que la ICO es reacia a sancionar al sector público, a menos que la exposición de los datos de las personas pueda vincularse a un daño demostrable. No está claro cómo un enfoque regulatorio que es laxo en materia de disuasión por diseño ayudará a mejorar los estándares de protección de datos en todo el gobierno.
