Pirata informático ofrece vender base de datos de la policía china en posible violación

En lo que puede ser una de las filtraciones más grandes conocidas de datos personales chinos, un pirata informático ofreció vender una base de datos de la policía de Shanghái que podría contener información sobre quizás mil millones de ciudadanos chinos.

El pirata informático no identificado, que se hace llamar ChinaDan, publicó en un foro en línea la semana pasada que la base de datos a la venta incluía terabytes de información sobre mil millones de chinos. No se pudo verificar la escala de la fuga. The New York Times confirmó partes de una muestra de 750.000 registros que el hacker publicó para probar la autenticidad de los datos.

El hacker, que se unió al foro en línea el mes pasado, vende los datos por 10 Bitcoin, o alrededor de $200,000. El individuo o grupo no proporcionó detalles sobre cómo se obtuvieron los datos. The Times contactó al hacker a través de un correo electrónico en la publicación, aunque no pudo ser entregado porque la dirección parecía ser incorrecta.

La oferta del hacker de la base de datos de la policía de Shanghai destaca una dicotomía en China: aunque el país ha estado a la vanguardia en la recopilación de grandes cantidades de información sobre sus ciudadanos, ha tenido menos éxito en asegurar y salvaguardar esos datos.

A lo largo de los años, las autoridades de China se han vuelto expertas en recopilar información digital y biológica sobre las actividades diarias y las conexiones sociales de las personas. Analizan las publicaciones de las redes sociales, recopilan datos biométricos, rastrean teléfonos, graban videos con cámaras policiales y filtran lo que obtienen para encontrar patrones y aberraciones. Una investigación del Times el mes pasado reveló que el apetito de las autoridades chinas por la información de los ciudadanos comunes solo se ha expandido en los últimos años.

Pero incluso cuando el apetito de Beijing por la vigilancia se ha incrementado, las autoridades parecen dejar abiertas al público las bases de datos resultantes o las han dejado vulnerables con salvaguardas relativamente débiles. En los últimos años, The Times ha revisado otras bases de datos utilizadas por la policía en China.

El gobierno de China ha trabajado para reforzar los controles sobre una industria de datos filtrados que ha alimentado el fraude en Internet. Sin embargo, el enfoque de la aplicación a menudo se ha centrado en las empresas de tecnología, mientras que las autoridades parecen estar exentas de reglas y sanciones estrictas destinadas a proteger la información en las empresas de Internet.

Yaqiu Wang, investigador sénior de China en Human Rights Watch, dijo que si el gobierno no protege los datos de sus ciudadanos, no hay consecuencias. En la ley china, “hay un lenguaje vago sobre los manejadores de datos estatales que tienen la responsabilidad de garantizar la seguridad de los datos. Pero, en última instancia, no existe un mecanismo para responsabilizar a las agencias gubernamentales por una fuga de datos”, dijo.

El año pasado, por ejemplo, Beijing tomó medidas enérgicas contra Didi, el equivalente chino de Uber, después de su esfuerzo por cotizar en la Bolsa de Valores de Nueva York, citando el riesgo de que la información personal confidencial pudiera estar expuesta. Pero cuando las autoridades locales de la provincia china de Henan hicieron mal uso de los datos de una aplicación de covid-19 para bloquear a los manifestantes el mes pasado, los funcionarios se salvaron en gran medida de sanciones severas.

Cuando los llamados piratas informáticos de sombrero blanco, que buscan e informan vulnerabilidades, han informado sobre fugas más pequeñas, los reguladores chinos han advertido a las autoridades locales que protejan mejor los datos. Aun así, garantizar la disciplina ha sido difícil, ya que la responsabilidad de proteger los datos a menudo recae en los funcionarios locales que tienen poca experiencia en la supervisión de la seguridad de los datos.

A pesar de esto, el público en China a menudo expresa confianza en el manejo de datos por parte de las autoridades y, por lo general, considera que las empresas privadas son menos confiables. Las filtraciones del gobierno a menudo son censuradas. Las noticias sobre la violación policial de Shanghái también han sido censuradas en su mayoría, y los medios de comunicación estatales de China no lo informaron.

“En este caso de la policía de Shanghái, ¿quién se supone que debe investigarlo?” dijo la Sra. Wang de Human Rights Watch. “Es la propia policía de Shanghái”.

En la publicación en línea del pirata informático, se proporcionaron muestras de la base de datos de Shanghai. En una muestra, se incluyó la información personal de 250.000 ciudadanos chinos, como nombre, sexo, dirección, número de identificación emitido por el gobierno y año de nacimiento. En algunos casos, también se pudo encontrar la profesión, el estado civil, el origen étnico y el nivel de educación de las personas, además de si la persona fue etiquetada como “persona clave” por el ministerio de seguridad pública del país.

Otro conjunto de muestras incluía registros de casos policiales, que incluían registros de delitos denunciados, así como información personal como números de teléfono e identificaciones. Los casos datan desde 1997 hasta 2019. El otro conjunto de muestras contenía información que parecía ser números de teléfono móvil y direcciones parciales de las personas.

Cuando un reportero del Times llamó a los números de teléfono de las personas cuya información estaba en los datos de muestra de los registros policiales, cuatro personas confirmaron los detalles. Otros cuatro confirmaron sus nombres antes de colgar. Ninguna de las personas contactadas dijo tener conocimiento previo sobre la fuga de datos.

En un caso, los datos proporcionaron el nombre de un hombre y dijeron que, en 2019, denunció a la policía una estafa en la que pagó alrededor de $400 por cigarrillos que resultaron tener moho. El individuo, contactado por teléfono, confirmó los detalles descritos en los datos filtrados.

La oficina de seguridad pública de Shanghai se negó a responder preguntas sobre el reclamo del pirata informático. Las llamadas a la Administración de Seguridad Cibernética de China quedaron sin respuesta el martes.

En las plataformas de redes sociales chinas, como Weibo y la aplicación de comunicación WeChat, se eliminaron publicaciones, artículos y hashtags sobre la fuga de datos. En Weibo, se suspendieron las cuentas de los usuarios que publicaron o compartieron información relacionada, y otros que hablaron al respecto dijeron en línea que se les había pedido que visitaran la estación de policía para conversar.