La Comisión Electoral del Reino Unido informó que “actores hostiles” no especificados habían logrado acceder a copias de los registros electorales, desde agosto de 2021.
Los piratas informáticos también irrumpieron en sus correos electrónicos y “sistemas de control”, pero el ataque no se descubrió hasta octubre del año pasado.
El organismo de control lanzó una advertencia general para que el público tuviera cuidado con el uso de sus datos para prevenir que personas extrañas accedan a ellos y hagan un uso indebido de los mismos.
En un comunicado, la comisión reveló que los hackers pudieron acceder a copias de los registros que tenía con fines de investigación y para realizar controles de los donantes políticos.
El director ejecutivo del organismo, Shaun McNally, dijo que la comisión sabía a cuáles de sus sistemas podían acceder los piratas informáticos, pero no podía identificar de manera “concluyente” a qué archivos podrían haber accedido.
La comisión reconoció asimismo que la información que tenía en el momento del ataque incluía los nombres y direcciones de personas en el Reino Unido que se registraron para votar entre 2014 y 2022.
Esto incluye a aquellos que optaron por mantener sus datos fuera del registro abierto, que no es accesible al público pero que puede ser comprado, por ejemplo, por agencias de referencia crediticia.
“Los datos a los que se accedió también incluían los nombres, pero no las direcciones, de los votantes en el extranjero”, agregó McNally.
Sin embargo, no se accedió a los datos de las personas que calificaron para registrarse de forma anónima, por razones de seguridad.
La comisión afirma que es difícil predecir exactamente cuántas personas podrían verse afectadas, pero estima que el registro de cada año contiene los detalles de alrededor de 40 millones de personas.
Agregó que era poco probable que los datos personales almacenados en sus servidores de correo electrónico presentaran un alto riesgo para el público, aunque la información incluida en el cuerpo de un correo electrónico o en un archivo adjunto puede ser vulnerable.
Los datos personales contenidos en los registros –nombre y dirección– no presentaban en sí mismos un “alto riesgo” para las personas, precisó McNally, aunque es posible que se combinen con otra información pública para “identificar y perfilar a las personas”.
La información brindada por el organismo no aclara cuándo se detuvo exactamente el acceso de los piratas informáticos a sus sistemas, pero dijo que se tomaron medidas de seguridad lo antes posible después de que se identificó el ataque en octubre de 2022.
Al explicar por qué no se había hecho público el ataque antes, la comisión dijo que primero necesitaba detener el acceso de los piratas informáticos, examinar el alcance del incidente e implementar medidas de seguridad adicionales.
Defendiendo la demora, el presidente de la comisión, John Pullinger, dijo que “si se hace pública una vulnerabilidad antes de haberla sellado, entonces se están arriesgando más vulnerabilidades”.
Dijo que el ataque “muy sofisticado” implicó el uso de “software para tratar de entrar y evadir nuestros sistemas”.
Agregó que los piratas informáticos no pudieron alterar ni eliminar ninguna información en los registros electorales mismos, que son mantenidos por los oficiales de registro en todo el país.
La información sobre donaciones y préstamos a partidos políticos y activistas registrados se mantiene en un sistema que no se ve afectado por este incidente, agrega el comunicado oficial. McNally dijo que entendía la preocupación pública y que le gustaría disculparse con los afectados.
La comisión agregó que había tomado medidas para proteger sus sistemas contra futuros ataques, incluida la actualización de sus requisitos de inicio de sesión, sistema de alerta y políticas de firewall.
(Con información de agencias)
