Hasta 425.000 suizos en el extranjero afectados por la fuga de datos

A mediados de mayo se publicó en la red oscura un registro de datos robados. Contiene información sobre los suscritores de “Panorama SuizoEnlace externo”. Se trata de la revista con la que la Confederación mantiene informados a los nacionales residentes en el exterior sobre los acontecimientos en Suiza.

Este registro de datos es muy completo. Actualmente, contiene más de 425.000 direcciones: el 40 % son direcciones postales y el 60 % restante, correos electrónicos. Cada suizo y suiza que está empadronado en el extranjero recibe “Panorama Suizo”, una revista que la Confederación ofrece como servicio a todos sus ciudadanos inscritos en el exterior y que se envía automáticamente por correo postal o electrónico. Según informaciones del Departamento Federal de Asuntos Exteriores (DFAE), son solo 330.00 suizos y suizas de un total de 800.000 que residen en el extranjero quienes no reciben la revista.

En un principio, el DFAE protege y trata estas direcciones conforme a las reglas de la protección de datos. Los datos proceden de los consulados, es decir, de los registros civiles en el extranjero, y no son cedidos voluntariamente por los interesados.

Quienes se dan de baja ante las autoridades suizas para anunciar su salida del país, tienen la obligación de comunicar su domicilio extranjero a una representación competente de la Confederación. Es a partir de estas inscripciones que se confeccionan las listas de los suscritores de “Panorama Suizo”. 

Ningún acceso, para nadie

Por esta razón, la Confederación considera tan sensibles estos datos que ni siquiera la editorial de “Panorama Suizo”, o sea, la Organización de los Suizos en el Extranjero (OSE), tiene acceso a las direcciones de los lectores y lectoras.

Sin embargo, justo este registro de datos se encuentra ahora en la red oscura, o al menos una parte. Se desconoce aún el alcance de la fuga de datos. La red oscura es una parte de Internet que no es accesible para el usuario estándar.

“El DFAE no tiene información sobre la cantidad efectiva de datos que se han robado”, comunica el ministerio de Exteriores suizo.

“Es lamentable que se hayan publicado datos que no fueron recopilados de manera voluntaria”, responde Adrian Lobsiger, encargado federal de la protección de datos, a preguntas de swissinfo.ch. La ley prevé que los afectados deben ser informados sobre esta fuga. La fiscalía ha presentado una demanda contra desconocidos y ciberexpertos están examinando el caso.

Captura accidental de un ciberataque

Pero ¿cómo ha podido ocurrir esto? Simplificando un poco, se puede decir que las 425.000 direcciones de los suizos y suizas en el extranjero son la captura accidental de un ciberataque extorsionista contra dos casas editoriales suizas, el grupo editorial NZZ y CH Media. Ambas editoriales están interconectadas a través de una infraestructura digital compartida. 

La organización criminal responsable del ataque se llama “Play”. Se trata de un colectivo de jáqueres supuestamente vinculado con Rusia. El 3 de mayo de 2023, “Play” publicó en la red oscura una serie de datos que había robado gracias a un ciberataque contra el grupo editorial suizoEnlace externo CH Media. Según el comunicado de dicha casa editorial, se encuentran entre estos datos también informaciones sensibles sobre empleados y socios comerciales.

La publicación fue parte de una negociación de carácter extorsionista, como suele ser habitual en este tipo de ataques con programas de secuestro de datos. El modo de proceder es impasible y pérfido. En un primer paso, los delincuentes jaquean el sistema informático de una empresa. Para ello es suficiente con que un empleado descuidado pinche un enlace manipulado. En este caso, la infracción digital se produjo en la editorial NZZ. Pero como CH Media también recurre a los servicios informáticos de NZZ, los jáqueres pudieron entrar también en sus sistemas.

Rescate denegado

En muchos casos, los criminales suelen encriptar los datos de sus víctimas. Al mismo tiempo amenazan con publicar datos sensibles. Si la empresa extorsionada rechaza pagar el rescate, se suelen publicar los registros en la red oscura. En este caso, las empresas atacadas aseguraron que no han pagado ningún rescateEnlace externo.

El ataque contra los sistemas informáticos de NZZ y CH Media se produjo a finales de mayo. Según informó el director Marc Lettau, también el equipo editorial de “Panorama Suizo” sufrió interrupciones en su sistema de redacción. Y es que la infraestructura informática de “Panorama Suizo” está conectada con el entorno digital atacado de CH Media.

El 3 de mayo de 2023, el día en que “Play” publicó los datos secuestrados, CH Media informó a sus clientes informáticos. Los socios empresariales supieron entonces que también se vieron afectados los datos de sus propios clientes. Este aviso lo recibió también “Panorama Suizo”.

Dos semanas más tarde, a mediados de mayo, se supo que también se habían robado las direcciones de los suscriptores de “Panorama Suizo”. Seis veces al año, el DFAE envía la revista bimensual para su tiraje a la imprenta Vogt-Schild en Soleura, que también es responsable del envío postal de la publicación. Vogt-Schild es una empresa que pertenece al grupo CH Media.

¿Existen medidas de protección?

¿Existen medidas de protección de datos en este proceso informatizado de tareas? “El envío se realiza a través de un sistema de transmisión codificada de archivos de la Confederación. Esta transferencia no se vio afectada, no fue jaqueada y no es objeto del robo de datos”, aclara Andreas Heller, portavoz de prensa del DFAE, y añade: “De acuerdo con las disposiciones sobre protección de datos de la Confederación, la empresa Vogt-Schild debe archivar estos datos de forma codificada. La imprenta solo retiene los datos para la impresión y el proceso de envío.”

En estos momentos, no está claro si se han codificado los datos en cuestión. “No hacemos declaraciones sobre relaciones con clientes particulares”, responde CH Media.

Adrian Lobsiger, el Encargado federal de la protección de datos, confirma a swissinfo.ch que se pondrá en contacto aún esta semana con CH Media, y “en un paso adicional, a lo mejor también con el DFAE”, para tematizar la pérdida de los datos y su gestión.

El DFAE emitió un primer comunicadoEnlace externo todavía la semana pasada, o sea, seis semanas después de conocerse la fuga de datos. En dicho comunicado se subraya que Vogt-Schild solo conocía las direcciones y que no estaba en posesión de datos de carácter personal. Preguntado por swissinfo.ch, el ministerio de Exteriores añade: “Los datos también contienen el idioma que los suscritores de «Panorama Suizo» han elegido.”

Al parecer, necesitaron en el Departamento de exteriores semanas para realizar una valoración correcta de la situación y definir la política comunicativa, cuando los expertos en la materia ya sabían que el error no lo cometió la Confederación.

Esta es la conclusión a la que llega Reto Vogt, redactor jefe del magazín “Inside-IT”. La Confederación destaca por su alta sensibilidad en temas relacionados con la protección de datos, en “este caso concreto simplemente tuvo mala suerte”, sostiene Vogt.  

¿Está en peligro la votación electrónica?

Pero justamente este ataque puede reavivar el debate en torno a la seguridad del sistema de votación electrónica que se volvió a introducir en 2023, puesto que el primer ensayo del nuevo sistema de votación-e coincidió con varios ciberataques que llamaron mucho la atención. 

Pero el colectivo “Play” no solo extorsionó a casas editoriales, también realizó con éxito un ataque espectacular contra la empresa tecnológica Xplain. Se trata de una compañía que suministra soportes lógicos a las autoridades judiciales y policiales suizas.

También este ataque chantajista desembocó en la publicación de datos sensibles. Entre las entidades afectadas se encuentran el Ejército, la Oficina Federal de Aduanas y Seguridad de las Fronteras, así como la Policía Federal Fedpol. También en este caso se sigue investigando. Se desconoce aún el alcance del daño causado.

Por si fuera poco, otro colectivo de jáqueres paralizó, a principios de junio, varios sitios web importantes de Suiza. El ataque se atribuye a un grupo prorruso llamado NoName y se produjo como reacción a una videoconferencia del presidente ucraniano Volodimir Zelenski en el Parlamento suizo. 

Numerosos sitios web cantonales y federales fueron atacados, pero también la Bolsa suiza. Sin embargo, en este caso se trató de ataques distribuidos de denegación de servicio, llamados DDoS por sus siglas en inglés, que se distinguen por accesos orquestados y masivos a los sitios web atacados que, como consecuencia del ataque, llegan a su límite de capacidad o se vienen abajo temporalmente.  

Hay que señalar que estos ataques, tanto del tipo DDoS como los realizados por medio de programas de secuestro de datos, no guardan relación directa con la tecnología empleada en el voto por Internet. No obstante, el aumento de estos ataques tiene consecuencias. De ello está convencido Franz Grüter, empresario de tecnologías de la información: “Si bien este incidente no tuvo ninguna relación directa con el sistema de votación electrónica, también es verdad que con cada ciberataque disminuye la confianza en la seguridad de los sistemas informáticos estatales.”

Gestión deficiente de la seguridad

En opinión de Grüter, los acontecimientos ponen en tela de juicio las precauciones de la Confederación en materia de seguridad. Grüter es consejero nacional por la Unión Democrática de Centro (UDC) y defiende una posición escéptica frente al voto electrónico. “Al ciudadano le dan igual los detalles del robo. Solo tiene que poder confiar en que el Estado garantice la seguridad de los datos”, dice.

Por eso, Grüter califica de gravísimo el incidente porque considera especialmente valiosa la posesión de un registro de datos vendible en un año electoral, sobre todo si éste contiene todas las direcciones de los suizos y suizas en el exterior. “Con estos datos se puede llevar a cabo una propaganda electoral muy enfocada”, dice.

Con respecto a esta cuestión, el DFAE comunica que “no tiene conocimiento sobre la posibilidad de que se estén ofertando actualmente estos datos en la red oscura”.

El periodista especializado en tecnologías de la información, Reto Vogt, sin embargo, no cree que el robo de los datos de los suscriptores de “Panorama Suizo” vaya a perjudicar el debate sobre la votación electrónica en Suiza. “Es cierto que se ven afectados los suizos en el extranjero en ambos casos, pero es el único punto que tienen en común”, señala.

Sin embargo, no hay que subestimar la psicología. Los suizos y suizas del extranjero no constituyen solo el principal grupo de presión favorable a la votación y administración electrónica, sino también el más apasionado. Ahora que la mayoría de ellos se ha convertido en víctima de un robo, es posible que este entusiasmo se vaya apagando poco a poco.

Texto adaptado del alemán por Antonio Suárez Varela