La falta de medidas por parte de Estado para resguardar los datos personales de los salvadoreños y la poca capacidad de respuesta ante una vulneración, han quedado al descubierto con la filtración de datos personales, información de instituciones de gobierno y una serie de ataques cibernéticos de sitios web afines al oficialismo, en los últimos meses.
Las acciones de hackeo se las ha adjudicado un colectivo de hacktivistas que se denominan CiberInteligencia SV.
Los hacktivistas hacen públicos a través de foros de deep web (sitios web a los que se accede a través de otros protocolos de seguridad), grupos públicos de chat y redes sociales, la información y datos que extraen desde los sitios web gubernamentales.
Algunos datos e información son de carácter público, según lo establece la Ley de Acceso a Información Pública (LAIP); sin embargo, el actual gobierno los mantiene bajo reserva.
Una de las filtraciones realizadas por el grupo de activistas digitales, que se viralizó hace unas semanas, está relacionada a información de la Procuraduría General de la República (PGR) la cual fue filtrada a un foro de deep web, es decir una web oculta que no es rastreable por los buscadores convencionales.
Al respecto, La Prensa Gráfica confirmó que tuvo acceso a la filtración de 40 gigabytes que contenían archivos de la Procuraduría y credenciales para ingresar a los servidores de la institución.
“La Prensa Gráfica logró comprobar que dicha información está disponible en línea y que puede ser descargada libremente, lo que según expertos en este tipo de filtraciones representa un peligro por la exposición de datos personales de ciudadanos salvadoreños que puedan estar contenidos en las bases de datos de instituciones públicas como la PGR” publicó el matutino.
La cuenta de la red social X (antes Twitter) @AtlacaltES que ha dado seguimiento a la actividad de los hacktivistas, publicó que la filtración incluía las credenciales para acceder a la red de sistemas de la Procuraduría.
“Se han filtrado las credenciales para acceder a la red de sistemas de la PGR. La información más crítica ha sido editada. Los IP que se muestran son privados, por lo que no hay problemas en mostrarlos. Es necesario tener activado el VPN para que funcione”, indica la publicación. Por su parte, la Procuraduría no se pronunció al respecto en sus canales oficiales a pesar que su página web estuvo fuera de línea por algunas horas el 29 de abril.
Asimismo, CiberInteligenciaSV se adjudicó el ataque a la Ventanilla Municipal del Registro Nacional de las Personas Naturales (RNPN), institución encargada del registro de estados vitales y familiares, la cual paralizó la entrega de documentos algunos días.
Sin embargo, el RNPN aseguró en un comunicado de prensa publicado el 3 de mayo que la suspensión de emisión de documentos en varias alcaldías se debía a la transición debido al reordenamiento territorial.
"Es importante aclarar que la falta de servicios de registro familiar en algunas alcaldías no se debe a fallas en el sistema o ciberataques al RNPN, sino al proceso de transición", dice el comunicado publicado por esa institución.
Asimismo el 2 de mayo varias páginas de noticias afines al oficialismo y el portal del diario gubernamental El Salvador presentaron dificultades en su funcionamiento, según se pudo constatar por varias horas estuvieron fuera de línea en el extrajero.
Tres días después, el colectivo de hacktivistas filtró la información de más de 11,000 estudiantes de la recién creada Escuela Superior de Innovación y Tecnología (ESIT), los cuales estuvieron a disponibilidad en un portal de la deep web.
“Anoche, #CiberInteligenciaSV, un grupo de hackers, expuso otra base de datos de la Escuela Superior de Innovación y Tecnología de El Salvador”, aseguraron a través de X.
Según explicaron, la filtración consistía en el listado de los nombres y correos de todos los estudiantes inscriptos en la ESIT. Tras el ataque la página pasó varios días fuera de línea.
Información publicada
El grupo de hacktivistas también ha sacado a la luz información con respecto a supuestas adjudicaciones, contratos, deudas y gastos realizados por instituciones estatales, alcaldías municipales y funcionarios públicos.
Por ejemplo, revelaron una serie de supuestas contrataciones millonarias realizadas entre 2021 y 2024 por el Instituto Salvadoreño del Seguro Social (ISSS).
“#CiberinteligenciaSV ha hecho otra brecha de seguridad que ha expuesto datos confidenciales del ISSS (Instituto Salvadoreño del Seguro Social)”, informó @atlacatlSV.
La misma cuenta de X publicó un pequeño listado de supuestos contratos del ISSS que ascienden los 184 millones de dólares por servicios de diálisis y hemodiálisis, estudios de viabilidad técnicos-financieros, la adecuación de unidades médicas y centros de cuidados paliativos, adquisición de vehículos y compra de medicamentos, entre otros.
Sin embargo, el listado publicado en la red social solo es una pequeña parte de toda la filtración de la información del ISSS, aseguraron.
Asimismo el colectivo publicó supuestos montos de compras realizadas por la empresa Chivo Wallet, algunas alcaldías y el diario gubernamental El Salvador.
Los datos publicados supuestamente de Diario El Salvador corresponden al mantenimiento y compra de equipo fotográfico por un monto de 8,000 dólares.
De la alcaldía de San Salvador mostraron facturas de comunicación a nombre del exalcalde Ernesto Muyshondt con fecha de 2024, a pesar que él se encuentra detenido desde junio de 2021.
“El grupo #CiberInteligenciaSV ha revelado facturas que ascienden a más de $19,000 USD mensuales, asociadas a 850 números de teléfono registrados a nombre de Ernesto Muyshondt”, señalaron.
Sobre las publicaciones de los hacktivistas que revelan información que por ley es pública, la Jefa Jurídica Anticorrupción de Cristosal, Ruth Eleonora López, expresó en X: “En El Salvador solo a través de filtraciones que realizan hacktivistas, la ciudadanía tienen acceso a información que es pública por ley como compras, gastos superfluos, ingresos de funcionarios o gastos que el partido oficial se niega a revelar”.
Carlos Palomo, técnico la Asociación Transparencia, Contraloría Social y Datos abiertos (Tracoda), al ser consultado al respecto, sostiene que la mejor forma de garantizar el acceso a la información es que las entidades estatales reconozcan su deber de publicar los datos y las informaciones que tienen y que la ciudadanía no tenga que enterarse a través de vulneraciones o divulgaciones que no pueden ser confirmadas.
“Es un tanto complicado porque la ciudadanía sí tiene derecho a saber sobre la información de las compras públicas y no hay base legal para restringir el acceso a las mismas”, manifestó.
Por otra parte, el 11 de mayo el grupo de hacktivistas confirmó que utilizaron un ataque DDoS para saturar los servidores del portal web del Ministerio de Hacienda, Aduanas y Transparencia Fiscal. Según se pudo constatar esa tarde los tres sitios estaban fuera de funcionamiento.
Un ataque DDoS consiste en la saturación del servidor de una página web que evita que los visitantes del sitio puedan ingresar.
Según explicaron los hacktivistas el incidente obligó al ministerio de Hacienda a cambiar los registros de servidor de nombre, lo que implicaría un costo significativo para el gobierno.
“Debido a este cambio, el proceso de propagación de DNS puede tomar aproximadamente 48 horas, y durante este tiempo, muchos sitios del gobierno pueden estar inaccesibles (...) este cambio podría implicar un costo significativo para el gobierno, incrementando los gastos del gobierno debido al ataque”, aseguraron.
La exdirectora ejecutiva de la Asociación Nacional de la Empresa Privada (ANEP), Leonor Selva, reaccionó al respecto en su cuenta de X explicando que “en términos de clima de negocios, la vulnerabilidad a ciberataques es uno de los criterios de riesgo país que se han vuelto prioridad en el mundo”.
“Si este (y otros ataques) son ciertos, es muy grave. Tanto empresa como gobierno deben priorizar el tema”, escribió Selva.
Revelación de datos personales
El grupo CibeinteligenciaSV además puso a disposición en un breach forum una base de datos personales de más de 5 millones de salvadoreños que incluye nombres, apellidos, direcciones, fotos, entre otros, sin que el gobierno se haya pronunciado hasta ahora al respecto.
En ese punto el representante de Tracoda considera que esto demuestra la falta de medidas por parte del Estado para resguardar los datos personales de los salvadoreños y la poca capacidad de respuesta que se tiene ante incidentes de esta naturaleza.
“Es deber del gobierno y del Estado no solo tomar medidas proactivas para evitar que esto vuelva a ocurrir, sino también informar cómo va a reparar a las víctimas, porque al final el Estado es el encargado del resguardo de la información personal y al haber ocurrido la fuga de datos, bajo su administración o bajo su tutela tiene que responder por ello”, explicó.
Lo último que ha trascendido es que FBI (Buro Federal de Investigaciones), de los Estados Unidos, intervino, bloqueo y tomó posesión del sitio en la deep web donde se estaban haciendo esas filtraciones.
¿Qué es el hacktivismo?
Desde la academia este término se define como una forma emergente de acción social que pretende cuestionar y transformar el orden social existente a través del activismo tecnológico. Dicho activismo, se sustenta en los principios de la socialización del conocimiento, la cooperación tecnológica y la autogestión comunicacional.
Edixela Burgos PINO, doctora en ciencias sociales