Imagen de Gerd Altmann, Pixabay.

Luego de varios grandes escándalos sobre filtraciones de información personal delicada de los ciudadanos, el pueblo ucraniano se da cuenta, poco a poco, de la importancia de la protección de datos. Sin embargo, con el advenimiento de las elecciones del 25 de octubre, la cantidad de datos personales de los electores que disponibles en línea generaron las condiciones propicias para que actores políticos locales e internacionales difundieran selectivamente desinformación o cualquier otro contenido malicioso.

En mayo de 2020, el activista ucraniano Volodymyr Flonts alertó al público sobre el chatbot anónimo @UA_baza que vendía datos personales de ciudadanos ucranianos en la popular aplicación de mensajería Telegram. El bot, que apareció hace apenas unos meses, afirmaba que había acumulado 900 GB de datos, que incluían números de pasaporte, códigos de identificación personal, domicilios declarados, licencias de conducir, claves de redes sociales e, incluso, datos bancarios de millones de personas. Ofrecía acceso a cinco entradas y la venta de toda la base de datos por 500 dólares. La lista de datos disponibles deja claro que no pudo haberse recopilado únicamente a partir de fuentes digitales abiertas. Entonces, ¿de dónde salieron estos datos?

Captura 1: Opciones de requerimiento de datos del bot de Telegram @UA_baza, que incluye números de pasaporte y de identificación tributaria. Captura de pantalla del 12/05/2020. La cuenta se inhabilitó ese día.

En Ucrania existen numerosas bases de datos oficiales y no oficiales que contienen información personal de los ciudadanos. Ahí se encuentran los registros estatales recopilados y administrados por varias agencias con el fin de brindar un servicio público, bases de datos de consumidores y otros conjuntos de datos de naturaleza comercial cuyo origen es difícil de determinar. Por ejemplo, el Registro Estatal de Electores es una de las principales bases de datos estatales que contienen información sensible de millones de personas y cuyo mantenimiento está a cargo de un organismo especial dentro de la Comisión Electoral Central (CEC). El acceso al Registro está tan estrictamente regulado que en 2019, un candidato presidencial se quejó de que le llevaría 6000 años analizarlo adecuadamente en busca de alguna irregularidad. No obstante, a pesar de los aparentemente estrictos procedimientos de seguridad, los hacktivistas ucranianos ya habían señalado vulnerabilidades del sitio web del Registro, y habían admitido públicamente desde el CEC la falta de personal calificado en materia de tecnologías de la información y ciberseguridad entre los funcionarios públicos debido a una gran diferencia salarial entre los sectores público y comercial.

Por este motivo, las entidades comerciales, como las empresas de telecomunicaciones, minoristas en línea, bancos y operadores logísticos, mantienen sus propios conjuntos de datos de consumidores. Además, los datos de consumidores se recogen y difunden dentro del marco de varios programas nacionales de fidelidad, algunos de los cuales incluyen una red de más de 90 tiendas virtuales y millones de clientes de toda Ucrania. Los negocios pequeños suelen trabajar con su propia base de datos de clientes. Si bien las grandes compañías solo proveen acceso a sus datos a terceros con fines publicitarios, entre las pequeñas empresas es habitual vender su base de clientes en línea. Y aunque la Ley de Protección de Datos Personales prohíbe vender los datos de consumidores sin su consentimiento informado, Ucrania carece de regulaciones y mecanismos eficaces para investigar cada caso o responsabilizar a quienes infringen las normas.

La enorme cantidad y la naturaleza de los datos que puso en venta el chatbot @UA_baza provocó la protesta pública y una investigación oficial. La cuenta bot desapareció de inmediato, pero no se sabe si la eliminó Telegram o sus creadores. Después, aparecieron varias cuentas en Telegram con nombres similares. Una investigación periodística sobre el incidente reveló que el conjunto de datos filtrado combinaba información de los registros gubernamentales, incluso versiones anteriores del Registro Estatal de Electores y el Registro Demográfico Unificado; bases de datos comerciales y redes sociales.

Si bien nunca antes hubo una fuente que reuniera tantos datos, no es la primera vez que los datos personales de los ciudadanos de Ucrania se filtran en línea. En 2018, se filtró la que parecía ser la base de datos de 18 millones de clientes de la mayor empresa de logística del país, “Nova poshta”. En 2019, la Policía detuvo a una persona que vendía una base de datos del Servicio Personalizado de Ucrania. Y en junio de 2020, unos periodistas confirmaron la filtración de una base de datos del PrivatBank, uno de los mayores bancos del país. Antes de que apareciera el infame bot de Telegram, se vendieron unos conjuntos de datos igual de grandes en dudosos tablones de anuncios en línea; pero con una búsqueda simple en internet arrojaba comerciantes de datos más pequeños que ofrecían compilar bases de datos personalizadas con nombres completos, teléfonos, género y direcciones de correo electrónico a pedido.

Captura 2: Opciones de requerimiento de datos de un bot de Telegram activo que ofrece en venta datos de ciudadanos. Captura de pantalla del 15 de octubre de 2020.

Cuando se acercaban las elecciones del 25 de octubre, continuó el comercio en línea de datos personales de los ciudadanos. Recientemente, una cuenta de Telegram que imitaba el nombre del bot eliminado @UA_baza anunció que vendía bases de datos de electores; y aunque parece fraudulenta, tiene más de 16 000 seguidores. Otros bots de Telegram que comercializan conjuntos más pequeños de datos personales han estado operando al menos desde 2018. Uno de ellos (ver captura 2) vincula un número telefónico a un nombre y busca otros datos asociados, como correo electrónico, fotos, cuentas de redes sociales, registro de empresas o matrícula de vehículos. Los pedidos individuales se responden gratis o a cambio de números de teléfono de la libreta de contactos del usuario, para fomentar la entrega de los datos de otra persona sin su consentimiento ni conocimiento; en cambio, un conjunto mayor de datos se vende por la módica suma de 50 dólares. Quienes crearon el bot siguen en el anonimato y alegan haber reunido sus datos a partir de “fuentes abiertas”, como los sitios web de búsqueda de empleo. Sin embargo, algunas personas reconocieron los datos que habían dado con anterioridad a entidades privadas, lo que indicaba que también podrían estar usando bases de datos filtradas de clientes.

A pesar de que ya está fuera de línea el bot que vendía el mayor conjunto de datos y de que el descontento público inicial se ha calmado, el volumen de datos personales que sigue disponible en línea permite que un gran número de ciudadanos sean blanco de contenidos potencialmente maliciosos. Por ejemplo, recientemente, tuvo lugar un incidente en la ciudad de Novi Sanzhary donde se fomentó, a través de grupos de Viber y publicaciones de Instagram y Facebook, la indignación por la llegada de ciudadanos ucranianos de la ciudad china de Wuhán, la que fue golpeada por el coronavirus. Esto demuestra cómo se puede usar el acceso no autorizado a miles de números telefónicos para difundir desinformación, generar pánico masivo e incitar el malestar dentro una región específica usando las populares aplicaciones de mensajería y redes sociales. Con tantos conjuntos de datos que contienen información personal y comercial sensible, es difícil predecir dónde van a resurgir la próxima vez. Sin embargo, queda claro que estos datos podrían ser fácilmente explotados por actores nacionales y extranjeros dentro de diversos contextos, incluso en la política.