La Oficina del Comisionado de Información (ICO) ha descubierto que los piratas informáticos han podido acceder a los datos personales de 40 millones de votantes británicos que obran en poder de la Comisión Electoral del Reino Unido (CE).

Tras una investigación sobre la filtración de datos de agosto de 2021, la ICO descubrió que la Comisión Electoral no tenía las medidas de seguridad adecuadas para proteger la información personal que tenía.

El regulador reveló que los atacantes accedieron con éxito al servidor Microsoft Exchange de la Comisión haciéndose pasar por una cuenta de usuario y explotando vulnerabilidades de software conocidas en el sistema que no habían sido protegidas.

Estas fallas estaban en la cadena de vulnerabilidades de ProxyShell, y los atacantes pudieron crear shells web en el sistema.

Si bien los ciberdelincuentes habían accedido a los sistemas de la CE en agosto de 2021, no fue hasta octubre de 2022 cuando se detectó una filtración de datos.

La filtración se identificó cuando un empleado informó que se estaban enviando correos electrónicos no deseados desde el servidor Exchange de la Comisión Electoral, lo que llevó al descubrimiento de malware. Luego, se cerró el servidor Exchange y se limpió antes de reiniciarlo.

Antes de que se produjera la detección, los actores de la amenaza tuvieron acceso a información personal almacenada en el Registro Electoral en varias ocasiones sin el conocimiento de la Comisión.

Esto incluía los datos personales de cualquier persona en el Reino Unido que estuviera registrada para votar entre 2014 y 2022.

La Comisión reveló públicamente la filtración en agosto de 2023 y la describió como un «ciberataque complejo».

El gobierno del Reino Unido atribuyó posteriormente el ataque a actores de amenazas afiliados al estado chino en marzo de 2024.

La ICO identificó varias fallas de seguridad «básicas» por parte de la Comisión que permitieron que ocurriera el ataque:

• No garantizar que sus servidores se mantuvieran actualizados con las últimas actualizaciones de seguridad, con parches para las vulnerabilidades explotadas publicados en abril y mayo de 2021
• No existían políticas adecuadas de gestión de contraseñas en el momento del incidente, y una de las cuentas comprometidas todavía usaba una contraseña que se le asignó a la cuenta en el momento de su creación

Stephen Bonner, Comisionado Adjunto de la ICO, comentó: «La Comisión Electoral maneja la información personal de millones de personas, todas las cuales esperan que sus datos estén en buenas manos».

En septiembre de 2023, la Comisión admitió haber fallado una prueba crucial de ciberseguridad al mismo tiempo que los piratas informáticos vulneraban sus sistemas.

La ICO también reconoció que la Comisión ha tomado varias medidas correctivas para mejorar su seguridad tras el ataque. Esto incluye la implementación de un plan de modernización tecnológica, el desarrollo de controles de políticas de contraseñas dentro de su Active Directory y la aplicación de la autenticación multifactor (MFA) para todos los usuarios.