Ciberataque expone datos de 40 millones de electores en Reino Unido

El incidente ocurrió entre los años 2021 y 2022, pero solo esta semana se conoció públicamente su alcance. Tras lo sucedido la Comisión Electoral del Reino Unido mejoró la protección de sus sistemas.

La Comisión Electoral del Reino Unido informó esta semana que fue víctima de un complejo ataque informático el que, como consecuencia, expuso los datos personales de millones de votantes de ese país.

El organismo de control electoral reveló que el ataque fue identificado en octubre de 2022 luego de que se detectara actividad sospechosa en sus sistemas.

Desde la comisión señalaron que no sabían de “manera concluyente” cual fue toda la información a la que los atacantes lograron acceder, pero se menciona que entre los activos involucrados están las copias de referencia de los registros electorales, los que contienen datos como el nombre y la dirección de todas las personas que se hayan registrado para las elecciones en el Reino Unido entre los años 2014 y 2022, así como los nombres de los votantes en el extranjero, lo que equivale a 40 millones de personas.

También se informó que los datos personales en el sistema de correo electrónico de la comisión, el que también fue afectado durante el incidente, incluían direcciones de correo de personas que se habían puesto en contacto con órgano electoral, así como las imágenes personales que las personas enviaron a la comisión y teléfonos de contacto.

La comisión señaló que la integridad del sistema electoral del Reino Unido no estaba riesgo, dado que se gestiona en papel.

De igual forma, la comisión consideró que en su evaluación sobre el impacto de la información sustraída, que esta “no presentan en sí mismos un alto riesgo para las personas”, acotando que “es posible que estos datos se combinen con otros datos de dominio público, como los que las personas eligen compartir, para inferir patrones de comportamiento o para identificar y perfilar a las personas”.

Pese a lo anterior, si admitió que la información si puede ser riesgosa en aquellos casos en los que las personas compartieron información confidencial o sensible en los formularios o en el cuerpo del correo cuando enviaron el formulario, la que puede incluir “condiciones médicas, género, sexualidad o detalles financieros personales”.

La opinión sobre el riesgo de los datos realizado por la comisión no significa que los actores de ataque puedan aprovechar la información a la que tuvieron acceso para perpetrar otro tipo de acciones que si puedan significar un alto riesgo para las personas a las que afectó.

El regulador de datos del Reino Unido (ICO) comenzó una investigación sobre el incidente y está evaluando las potenciales consecuencia sobre el mismo.

Si bien el ciberataque fue dado a conocer recién esta semana, a comisión señaló en un comunicado que “el incidente se identificó en octubre de 2022 después de que se detectara actividad sospechosa en nuestros sistemas. Quedó claro que los actores hostiles habían accedido por primera vez a los sistemas en agosto de 2021”.

Por último, la comisión hizo un llamado a las personas que hayan estado en contacto con ese organismo o que se hayan registrado para votar en el período de 2014 hasta 2022 para que permanezcan alertas ante el uso no autorizado o la divulgación de sus datos personales.

“Hemos tomado medidas para proteger nuestros sistemas contra futuros ataques y hemos mejorado nuestras protecciones en torno a los datos personales. Reforzamos nuestros requisitos de inicio de sesión en la red, mejoramos el sistema de monitoreo y alerta para amenazas activas y revisamos y actualizamos nuestras políticas de firewall. La Comisión ha trabajado con expertos en seguridad externos y el Centro Nacional de Seguridad Cibernética para investigar y proteger sus sistemas”, finaliza el comunicado de la entidad.