Correo electrónico de la Sedena sí trató datos personales: especialistas

El sistema de correo electrónico de la Secretaría de la Defensa Nacional (Sedena), que fue vulnerado por el grupo Guacamaya y por otros hackers, sí trataba con datos personales e, incluso, con información sensible, coincidieron especialistas en protección de datos personales consultados por El Economista.

La Sedena notificó a la autoridad mexicana en protección de datos personales, el Inai, sobre la vulneración a su sistema de correo electrónico. La oficina de transparencia del ejército mexicano aseveró, según el oficio enviado al Inai, considera que la intromisión en su sistema de correo electrónico “no constituye una vulneración que afecte de forma significativa los derechos patrimoniales o morales de titulares de datos personales”.

Esto se debe a que la Sedena considera que esta información es de carácter público, ya que su servicio de correo electrónico es “un medio de comunicación en su interior”, que sirve para “transmitir mensajes de contenido no clasificado”.

A excepción de la confirmación del comandante supremo de las Fuerzas Armadas, el presidente Andrés Manuel López Obrador, sobre el ataque cibernético contra la Sedena durante su conferencia mañanera del 30 de septiembre, no hubo una notificación formal por parte de la dependencia, sino hasta 25 días después de que tuvo conocimiento de la vulnerabilidad que la afectaba, el 9 de septiembre. Aunque el plazo de notificación ante el Inai no debe rebasar las 72 horas.

Datos personales 

Para Issa Luna Pla, investigadora senior adjunta en la Universidad de Nueva York e Investigadora del Instituto de Investigaciones Históricas de la UNAM, dentro de la información robada a la Sedena podría existir información patrimonial, como cuentas de correo electrónico que estén asociadas a cuentas bancarias o a información de identificación, como el RFC o los domicilios fiscales, no solamente de personas privadas sino de funcionarios públicos.

La especialista recordó la base de datos de la Secretaría de la Función Pública (SFP) que sufrió una vulneración en 2020, la cual  expuso la información de 830,000 trabajadores del gobierno mexicano. La SFP también incumplió al no notificar al Inai en el plazo establecido en la legislación y al no notificar tampoco a los titulares de los datos que se habían visto vulnerados. Algo que, de igual forma, no ha ocurrido con la Sedena.

De acuerdo con Luna Pla, la Sedena no puede argumentar que su sistema de correo electrónico no trata con datos personales, ya que los correos electrónicos filtrados por el grupo Guacamaya pueden contener información confidencial que también está contemplada en la Ley General de Datos Personales en Posesión de Sujetos Obligados.

“La ley no solamente se refiere a una base o un sistema de de datos personales, como lo puede ser un directorio, por ejemplo, sino que se refieren particularmente a cualquier información, cualquier documento o información digital en la cual pueda estar contenida datos personales o información. Un reporte que esté anexo a uno de estos correos puede contener información confidencial sobre víctimas de las que se está reportando algún hecho o puede contener información personal sobre testigos de un hecho que esté siendo investigado”, dijo Luna Pla.

Datos sensibles

Desde la revelación del hackeo a la Sedena por parte del grupo Guacamaya, informada por el medio digital mexicano Latinus, muchos otros medios de comunicación han utilizado la información obtenida por este grupo hacktivista para difundir investigaciones acerca de temas que van desde el espionaje conducido por parte de la secretaría, el cual fue negado por el presidente López Obrador y por la propia dependencia, hasta la creación de una aerolínea estatal, que en teoría también será conducida por el ejército.

Cynthia Solís, directora de LEXINF IT Legal Advisory y miembro del consejo consultivo consultivo del IFT, cree que la información divulgada a partir del hackeo a la Sedena no puede ser considerada de carácter público. 

Solís pone como ejemplo el caso de los datos difundidos por Latinus sobre la salud del Presidente, que la legislación mexicana considera como datos sensibles y que aunque se hicieron de interés público con la exfiltración de Guacamaya, conservan su estatus de datos sensibles.

“Con motivo de la comisión de un delito ─porque hay que decirlo como tal, pues de todas maneras, aunque el fin sea loable, sigue siendo un acto ilícito─ la información no pierde de ninguna manera su carácter de información sensible e incluso se podría poner en riesgo también la vida del primer mandatario, porque no sabes quién pudiera hacer mal uso de esta información”, dijo Solís.

rodrigo.riquelme@eleconomista.mx

kg