Un ciberataque a la Comisión Electoral del Reino Unido que resultó en la violación de datos del registro de votantes de 40 millones de personas podría haberse evitado por completo si la organización hubiera utilizado medidas básicas de seguridad, según las conclusiones de un informe contundente publicado esta semana por el organismo de protección de datos del Reino Unido.
El informe publicado por la Oficina del Comisionado de Información del Reino Unido el lunes culpó a la Comisión Electoral, que mantiene copias del registro de ciudadanos del Reino Unido elegibles para votar en elecciones, por una serie de fallas de seguridad que llevaron al robo masivo de información de votantes a partir de agosto de 2021.
La Comisión Electoral no descubrió la violación de sus sistemas hasta más de un año después en octubre de 2022 y tardó hasta agosto de 2023 en hacer pública la violación de datos que duró un año.
La Comisión dijo en el momento de la divulgación pública que los piratas informáticos habían ingresado a servidores que contenían su correo electrónico y habían robado, entre otras cosas, copias de los registros electorales del Reino Unido. Esos registros almacenan información sobre los votantes que se registraron entre 2014 y 2022 e incluyen nombres, direcciones postales, números de teléfono e información no pública de los votantes.
El gobierno del Reino Unido posteriormente atribuyó la intrusión a China, con altos funcionarios advirtiendo que los datos robados podrían utilizarse para «espionaje a gran escala y represión transnacional de disidentes y críticos percibidos en el Reino Unido». China negó su participación en la violación.
La Oficina del Comisionado de Información emitió su reprimenda formal a la Comisión Electoral el lunes por violar las leyes de protección de datos del Reino Unido, agregando: «Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como la aplicación efectiva de parches de seguridad y la gestión de contraseñas, es muy probable que esta violación de datos no hubiera ocurrido».
Por su parte, la Comisión Electoral reconoció en una breve declaración tras la publicación del informe que «no se habían implementado las protecciones suficientes para evitar el ciberataque a la Comisión».
Hasta el informe de la Oficina del Comisionado de Información, no estaba claro exactamente qué llevó a la violación de la información de decenas de millones de votantes del Reino Unido, ni qué podría haberse hecho de manera diferente.
Ahora sabemos que la Oficina del Comisionado de Información culpó específicamente a la Comisión por no parchar «vulnerabilidades de software conocidas» en su servidor de correo electrónico, que fue el punto inicial de intrusión para los piratas informáticos que se llevaron datos de votantes. El informe también confirma un detalle reportado por TechCrunch en 2023 de que el correo electrónico de la Comisión era un servidor de Microsoft Exchange autohospedado.
En su informe, la Oficina del Comisionado de Información confirmó que al menos dos grupos de hackers maliciosos se infiltraron en el servidor de Exchange autohospedado de la Comisión durante 2021 y 2022 utilizando una cadena de tres vulnerabilidades conocidas colectivamente como ProxyShell, que les permitió ingresar, tomar el control e instalar código malicioso en el servidor.
Microsoft lanzó parches para ProxyShell varios meses antes en abril y mayo de 2021, pero la Comisión no los había instalado.
Para agosto de 2021, la agencia de ciberseguridad de EE. UU., CISA, comenzó a hacer sonar la alarma de que los piratas informáticos maliciosos estaban explotando activamente ProxyShell, momento en el cual cualquier organización que tuviera un proceso efectivo de aplicación de parches de seguridad ya había implementado soluciones meses atrás y ya estaba protegida. La Comisión Electoral no era una de esas organizaciones.
«La Comisión Electoral no tenía un régimen adecuado de aplicación de parches en el momento del incidente», decía el informe de la Oficina del Comisionado de Información. «Esta falla es una medida básica».
Entre otros problemas de seguridad notables descubiertos durante la investigación de la Oficina del Comisionado de Información, la Comisión Electoral permitía contraseñas que eran «altamente susceptibles» de ser adivinadas, y la Comisión confirmó que era «consciente» de que partes de su infraestructura estaban obsoletas.
El subcomisionado de la ICO, Stephen Bonner, dijo en un comunicado sobre el informe y la reprimenda de la ICO: «Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como la aplicación efectiva de parches de seguridad y la gestión de contraseñas, es muy probable que esta violación de datos no hubiera ocurrido».
¿Por qué la ICO no multó a la Comisión Electoral?
Un ciberataque totalmente evitable que expuso los datos personales de 40 millones de votantes del Reino Unido podría sonar como una violación lo suficientemente grave como para que la Comisión Electoral sea penalizada con una multa, no solo una reprimenda pública. Sin embargo, la ICO solo emitió un reto público por la falta de seguridad.
Los organismos del sector público han enfrentado sanciones por violar normas de protección de datos en el pasado. Pero en junio de 2022 bajo el anterior gobierno conservador, la ICO anunció que probaría un enfoque revisado para hacer cumplir las normas en los organismos públicos.
El regulador dijo que el cambio de política significaba que las autoridades públicas probablemente no recibirían grandes multas por incumplimientos durante los próximos dos años, aunque la ICO sugería que los incidentes seguirían siendo investigados a fondo. Sin embargo, se les pidió al sector que esperara un mayor uso de reprimendas y otras medidas de cumplimiento en lugar de multas.
En una carta abierta explicando la medida en ese momento, el comisionado de información John Edwards escribió: «No estoy convencido de que las grandes multas por sí solas sean un factor disuasivo efectivo dentro del sector público. No afectan a los accionistas o a los directores individuales de la misma manera que lo hacen en el sector privado, sino que provienen directamente del presupuesto para la prestación de servicios. El impacto de una multa en el sector público a menudo recae sobre las víctimas de la violación, en forma de presupuestos reducidos para servicios vitales, y no sobre los perpetradores. De hecho, las personas afectadas por una violación son castigadas dos veces».
A simple vista, podría parecer que la Comisión Electoral tuvo la suerte de descubrir su violación dentro del período de prueba de dos años de la ICO de un enfoque más suave para la aplicación sectorial.
En consonancia con la declaración de la ICO de que iba a probar sanciones menos frecuentes para las violaciones de datos del sector público, Edwards dijo que el regulador adoptaría un flujo de trabajo más proactivo de alcance a los altos líderes de los organismos públicos para intentar elevar los estándares y promover el cumplimiento de la protección de datos en los organismos gubernamentales a través de un enfoque de prevención de daños.
Sin embargo, cuando Edwards reveló el plan de probar la combinación de una aplicación más suave con un alcance proactivo, admitió que requeriría esfuerzo en ambas direcciones, escribiendo: «[N]o podemos hacer esto solos. Debe haber responsabilidad para lograr estas mejoras en todos los ámbitos».
La violación de la Comisión Electoral podría plantear preguntas más amplias sobre el éxito de la prueba de la ICO, incluido si las autoridades del sector público han cumplido su parte de un acuerdo que supuestamente justificaría una aplicación menos estricta.
Ciertamente no parece que la Comisión Electoral haya sido adecuadamente proactiva en la evaluación de los riesgos de violación en los primeros meses del período de prueba de la ICO, es decir, antes de que descubriera la intrusión en octubre de 2022. La reprimenda de la ICO que califica la incapacidad de la Comisión para parchar una falla conocida de software como «una medida básica», por ejemplo, suena a la definición de una violación de datos evitable que el regulador había dicho que quería eliminar con su cambio de política en el sector público.
En este caso, sin embargo, la ICO afirma que no aplicó la política más suave de aplicación en el sector público en este caso.
Respondiendo a preguntas sobre por qué no impuso una multa a la Comisión Electoral, la portavoz de la ICO, Lucy Milburn, dijo a TechCrunch: «Tras una investigación minuciosa, no se consideró imponer una multa en este caso. A pesar del número de personas afectadas, los datos personales involucrados se limitaron principalmente a nombres y direcciones contenidos en el Registro Electoral. Nuestra investigación no encontró evidencia de que los datos personales se hubieran utilizado incorrectamente ni de que se hubiera causado un daño directo por esta violación».
«La Comisión Electoral ha tomado las medidas necesarias que esperaríamos para mejorar su seguridad en el tiempo posterior, incluida la implementación de un plan para modernizar su infraestructura, así como controles de política de contraseñas y autenticación multifactor para todos los usuarios», agregó la portavoz.
Según lo que la regulación dice, no se emitió ninguna multa porque los datos no se usaron incorrectamente, o más bien, la ICO no encontró evidencia de uso incorrecto. Simplemente exponer la información de 40 millones de votantes no cumplió con el estándar de la ICO.
Uno podría preguntarse cuánto de la investigación del regulador se centró en descubrir cómo la información de los votantes podría haber sido utilizada incorrectamente.
Volviendo al ensayo de aplicación en el sector público de la ICO a fines de junio, a medida que el experimento se acercaba a la marca de dos años, el regulador emitió una declaración diciendo que revisaría la política antes de tomar una decisión sobre el futuro de su enfoque sectoral.
S eademás será interesante ver si la política se mantiene tal como está, o si hay una transición hacia menos reprimendas y más multas para las violaciones de datos del sector público. Independientemente, el caso de la violación de la Comisión Electoral muestra que la ICO es reacia a sancionar al sector público, a menos que exponer los datos de las personas se pueda vincular con un daño demostrable.
No está claro cómo un enfoque regulatorio que es débil en la disuasión por diseño ayudará a elevar los estándares de protección de datos en todo el gobierno.