Un subcontratista de la Oficina de aduanas y protección fronteriza de Estados Unidos (CBP por sus siglas en inglés) sufrió la violación de una de sus base de datos, lo que expuso imágenes de viajeros y las matrículas de los vehículos que entraron y salieron de los Estados Unidos.
"El 31 de mayo, la CBP se enteró de que un subcontratista, en violación de nuestras políticas y sin nuestra autorización o conocimiento, transfirió copias de imágenes de matrículas recolectadas por nosotros a su propia red", expresó la Oficina en un comunicado este lunes.
"La red del subcontratista fue posteriormente comprometida por un ciberataque malicioso. Ningún sistema del CBP estuvo comprometido", añadieron.
La información inicial indica que el subcontratista, del cual no se mencionan más detalles, violó los protocolos obligatorios de seguridad y privacidad detallados en su contrato.
Sin embargo, la CBP confirmó que hasta este lunes, ninguno de los datos e imágenes expuestas han sido identificadas en internet ni en la llamada Dark web. La Oficina de aduanas alertó a miembros del Congreso y se encuentra "investigando activamente" el incidente, del cual determinará el alcance y la respuesta apropiada.
Además, la CBP, que procesa más de un millón de pasajeros al día, removió de su servicio todo el equipamiento relacionado con la vulneración de datos y se encuentra monitoreando todo el trabajo que el subcontratista ha realizado para ellos.
De acuerdo con Buzzfeed, en la base de datos afectada por el ciberataque podrían estar incluidas imágenes de pasaportes y visas que se usan en los aeropuertos para el programa de reconocimiento facial.
En mayo, de acuerdo con The Register, la compañía "Perceptics", la creadora de los lectores de matrículas usada por el gobierno estadounidense para identificar y rastrear ciudadanos, fue hackeada.
Sin embargo, no se ha confirmado si se trata de la misma violación de datos de la que habla la CBP. La diferencia principal entre ambos casos sería que la información robada a "Perceptics" sí fue filtrada parcialmente en la Dark web.
El ciberataque y la exposición de datos privados no podría llegar en un peor momento para la Oficina de aduanas norteamericana, que se encuentra en medio de uno de la implementación de un sistema biométrico de entrada y salida para identificar viajeros que cruzan sus fronteras.
La meta de la CBP es usar la tecnología de reconocimiento facial en el total de los pasajeros de vuelos internacionales, incluidos ciudadanos estadounidenses, en los principales 20 aeropuertos del país para 2021.
Los primeros críticos de la violación de datos ya realizaron declaraciones públicas. El senador demócrata Ron Wyden, que suele interesarse por los temas de seguridad nacional, dijo que el gobierno "debe de explicar exactamente cómo hará para prevenir este tipo de violaciones para que no sucedan en el futuro".
"Este incidente debe ser una lección para aquellos que han defendido la expansión de los poderes de vigilancia del gobierno. Estos vastos tesoros de información personal son uno de los principales objetivos de los ciberataques", añadió.
Activistas de derechos humanos como, la famosa Asociación americana por las libertades civiles (ACLU por sus siglas en inglés) destacó que se necesita "poner un freno" a la recolección de datos sensibles de los ciudadanos y llamó a una investigación del Congreso sobre las prácticas de la CBP.
"La mejor manera de evitar que se filtre información personal sensible es que no se recolecten esos datos en primer lugar", señaló Neema Singh Guliani, abogada de la ACLU.