La falta de seguridad permitió a los piratas informáticos acceder a los datos de 40 millones de votantes
Los datos personales de millones de votantes del Reino Unido quedaron «vulnerables a los piratas informáticos» porque no se cambiaron las contraseñas y no se actualizó el software, según descubrió el organismo de control de privacidad de datos del Reino Unido.
La Comisión Electoral, que supervisa las elecciones del Reino Unido, Ha sido reprendido formalmente por la Oficina del Comisionado de Información (ICO) por la falla de seguridad.
A partir de agosto de 2021, los ciberatacantes pudieron acceder a las computadoras que contienen los registros electorales, que contienen detalles de los votantes, incluidos millones de ellos que no están disponibles públicamente.
La Comisión Electoral dijo Lamentó que no existieran protecciones suficientes para prevenir el ciberataque.
«Como la ICO ha señalado y acogido con satisfacción, desde el ataque hemos realizado cambios en nuestro enfoque, sistemas y procesos para fortalecer la seguridad y resiliencia de nuestros sistemas y continuaremos invirtiendo en esta área», dijo en un comunicado.
La investigación no encontró ninguna evidencia de que se hubiera hecho un mal uso de datos personales ni de que el ataque hubiera causado algún daño directo.
La ICO afirmó que los piratas informáticos tuvieron acceso a los sistemas de las Comisiones Electorales durante más de un año.
Sólo se detectó cuando un empleado informó que se estaban enviando correos electrónicos spam desde el propio servidor de correo electrónico de la comisión.
Los piratas informáticos finalmente fueron expulsados en 2022.
El gobierno del Reino Unido ha acusado formalmente a China de estar detrás del ataque a la comisión, afirma el La embajada china rechazó como «calumnia maliciosa».
La investigación de la ICO descubrió que la Comisión Electoral no contaba con medidas de seguridad adecuadas para proteger la información personal que tenía.
Para llevar a cabo el ataque, los piratas informáticos se hicieron pasar por una cuenta de usuario legítima y explotaron una serie de debilidades de seguridad conocidas públicamente en el software utilizado por la comisión.
Las actualizaciones de software que solucionaron estos agujeros de seguridad habían estado disponibles durante meses antes del ataque, pero la Comisión Electoral no las había aplicado.
La comisión tampoco tenía una política «apropiada» para garantizar que los empleados usaran contraseñas seguras.
Los investigadores descubrieron que 178 cuentas de correo electrónico activas todavía usaban contraseñas idénticas o similares a las establecidas por el servicio de asistencia informática de la organización cuando se creaba o restablecía una cuenta.
El comisionado adjunto de la ICO, Stephen Bonner, dijo que si la Comisión Electoral hubiera «tomado medidas básicas» para proteger sus sistemas, era «muy probable» que la violación de datos no hubiera ocurrido.
«Al no instalar rápidamente las últimas actualizaciones de seguridad, sus sistemas quedaron expuestos y vulnerables a los piratas informáticos», dijo.