Chile: hacking de datos sobre 6 millones de chilenos

En su primera plana del domingo 11 de mayo de 2008, el diario El Mercurio publicó una nota sobre el mayor hacking de la historia en Chile. Se informa que datos personales de seis millones de chilenos (mas del 30% de la población de ese país que asciende a 16 millones!) quedaron públicamente disponibles en internet durante la madrugada y mañana del día 10 de mayo, luego que fueran sustraídos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red.

Se trata de registros de nombres de personas, números de RUT, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social obtenida desde la Dirección General de Movilización Nacional (DGMN), el Servicio Electoral (Servel), el Ministerio de Educación (Mineduc), el sitio PSU 2005 y registros telefónicos. La alerta la dio el sitio FayerWayer, un visitado blog chileno dedicado a temas tecnológicos, que recibió los datos en uno de sus foros la madrugada del sábado. De inmediato los administradores del sitio dieron cuenta a la Brigada del Cibercrimen de la Policía de Investigaciones, que realizó las primeras diligencias durante el día de ayer. Pero ya los dichos del gobierno han provocado controversias.

La información también fue publicada por la página elantro.cl, donde un usuario dejó disponibles los links de la página donde están almacenados los archivos. Se trata de un servidor internacional de alojamiento de datos. Luego de dos horas, el administrador de la página también borró los links, pero los datos siguen en internet. El diario El Mercurio accedió a la documentación, entre la que se pudo constatar un instructivo para que los usuarios hagan uso de la información.

En el archivo “readme.txt”, el autor de la filtración explica que la idea es “mostrar lo mal protegidos que están los datos en Chile”. A renglón seguido, dice que “ya que nadie se esmera en proteger esta información, hacerla pública para todo el mundo”. Luego, hace una descripción de los datos y la cantidad de registros de cada institución. En el caso del Mineduc hay registros de los pases escolares e información de inscripción de la prueba PSU 2005. También hay un listado de números telefónicos equivalente a una guía comercial y residencial de toda la Región Metropolitana (2 millones de personas). El “hacker” recomienda descubrir datos “freak”: “La hija de Bachelet tiene pase escolar, aun cuando a mucha gente no se lo dan porque sus padres ganan más de una cierta cantidad”. Incluso, el autor del texto dice que con los datos se puede generar un mapa virtual con Google Earth o Google Maps, donde se pueda ver gráficamente un mapa de dónde vive cada persona. Añade que con los folios del pase escolar y según los datos de la tarjeta Bip se podrían mostrar los recorridos de esa persona.

Entrevistado por El Mercurio, Renato Jijena, el mayor especialista chileno en la materia, e integrante de la red latinoamericana de habeas data explica que en su país es delito acceder sin permiso al servidor pero que los datos obtenidos son en su mayoría de naturaleza publica. Concluye sugiriendo la necesidad de una agencia de protección de datos personales para su país, como la que existe en España.

En Argentina, recordamos que está vigente la ley 25326 de datos personales cuyo artículo 32 (actual art. 157 bis del CP) prohibe acceder sin permiso a bases de datos personales. Recientemente la cámara federal de la ciudad de Buenos Aires dictó un procesamiento en la causa relacionada con la sustraccion de datos del ANSES, considerando que había delito.

En breve en nuestr país el Congeso estaría aprobando un nuevo marco regulatorio para el delito informático como informamos en este blog, lo que ampliaría el delito antedicho (de acceso a bancos de datos) no sólo al acceso ilegítimo a bases de datos personales sino también penalizando el acceso a cualquier ordenador.

***