A 2 años, sigue sin sanción hackeo de datos de más de un millón de empleados federales

Luego de dos años de que un hacker se robó los datos de las declaraciones patrimoniales de 1.6 millones de servidores públicos del gobierno federal, la Secretaría de la Función Pública (SFP) todavía no sanciona a ninguno de los empleados que posiblemente ocasionó la brecha en la base de datos.

En atención a lo que en noviembre de 2020 le instruyó el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), que es la autoridad en la materia, la Secretaría inició tres expedientes de investigación para determinar qué servidores públicos fueron los responsables de la filtración de los millones de datos personales de los empleados federales.

Sin embargo, reveló que al menos hasta el mes pasado no se había sancionado a ningún empleado de la SFP, pues todavía no concluyen con las “diligencias y actos” para acreditar las conductas presuntamente irregulares.

En su respuesta, el Órgano Interno de Control de la SFP informó que se localizó el expediente QD/0289/2020 y sus acumulados QD/0290/2020 y QD/0631/2020, los cuales continúan en trámite.

Por lo tanto, precisó, la información allí contenida se considera reservada por un año para que su difusión no obstruya las actividades de verificación, inspección y auditoría.

En mayo del año pasado, diversos medios dieron a conocer que de acuerdo con la investigación que realizó el INAI, la base de datos de DeclaraNet fue robada entre mayo y junio de 2020 cuando funcionarios de la SFP intentaron utilizar, de manera indebida, la información contenida allí para crear una nueva base de datos, denominada OMEXT, que incluiría los nombres de los servidores públicos que habían sido omisos o extemporáneos en la presentación de su declaración patrimonial anual.

El expediente abierto por el INAI detalló que al momento de que los servidores públicos de la SFP pretendieron generar la nueva base de datos para alimentar al OMEXT, un acceso quedó abierto al público y un intruso logró entrar para robarse la base de datos e intentar una extorsión a cambio de ellos con mensajes como “Tienes 7 días para contactarnos” y “Contáctanos o tu información será divulgada”.

La resolución del INAI determinó que además del nombre completo, el RFC, la CURP y el sexo, otros datos de los empleados federales que se vieron vulnerados fueron los de los bienes inmuebles de los declarantes (tipo de operación, valor, porcentaje de propiedad, superficie del terreno, superficie construida), de los vehículos (valor, tipo de operación, marca, modelo, año), de los bienes muebles (valor, tipo de bien, tipo de operación) de las inversiones (valor, tipo de operación) de los adeudos (valor, tipo de operación, tipo de adeudo, fecha de adquisición, monto original, otorgante del crédito), entre otros.

Para el instituto, el incidente representó “una afectación significativa a derechos patrimoniales de los titulares”. Dictaminó que con la vulneración ocurrida se tuvo acceso y se pudo haber realizado la copia no autorizada de datos personales que permiten perfilar la situación económica de los titulares.

El funcionario que respondió a los requerimientos que hizo el INAI durante su investigación fue Gregorio González Nava, entonces titular de la Dirección General de Transparencia y Gobierno Abierto de la SFP, quien actualmente ya no labora en la dependencia.

La filtración de datos fue dada a conocer originalmente en julio de 202o en el periódico El Economista, el cual informó que un analista de seguridad, Bob Diachenko, fue quien se encontró la base de datos de los empleados federales en el motor de búsqueda Shodan, por lo que el 30 de junio de 2020 dio aviso a la SFP.

Con información de MILENIO