La Comisión Electoral del Reino Unido ha revelado el martes un “complejo” ciberataque a sus sistemas que pasó desapercibido durante más de un año, lo que permitió a los ciberdelincuentes acceder a los datos de 40 millones de votantes.

“El incidente fue identificado en octubre de 2022, después de que se detectara actividad sospechosa en nuestros sistemas”, reconoce el regulador. “Parece claro que el primer acceso no autorizado a los sistemas tuvo lugar en agosto de 2021”.

La intrusión en los sistemas permitió el acceso no autorizado a los servidores de la Comisión que alojan correo electrónico, sistemas de control y copias de los registros electorales que mantiene con fines de investigación.

Por el momento se desconoce la identidad de quienes realizaron el acceso, pero si se sabe que los registros incluían el nombre y la dirección de cualquier persona en el Reino Unido que se hubiera registrado para votar entre 2014 y 2022, así como los nombres de las personas registradas como votantes en el extranjero. Sin embargo, estos registros no contenían las direcciones de los votantes extranjeros registrados fuera del Reino Unido.

Los datos que se han visto expuestos a raíz del ciberincidente han sido:

  • Nombre y apellidos
  • Direcciones de correo electrónico (personal y/o profesional)
  • Dirección particular si se incluye en un formulario web o correo electrónico
  • Número de teléfono de contacto (personal y/o profesional)
  • Contenido del formulario web y del correo electrónico que pueda contener datos personales
  • Cualquier imagen personal enviada a la Comisión.
  • Domicilio en las inscripciones en el registro
  • Fecha en la que una persona alcanza la edad de votar ese año

Se desconoce el motivo por el cual se ha retrasado la divulgación de la brecha tanto tiempo, pero la Comisión Electoral ha declarado a The Guardian que se hizo para detener el acceso, investigar el alcance de la brecha y reforzar las barreras de seguridad.

La Comisión también ha señalado que los datos a los que se accedió podrían combinarse con otros ya disponibles en el dominio público para “inferir patrones de comportamiento o identificar y perfilar a individuos.”

También ha hecho hincapié en que el ataque no tiene ningún impacto en el proceso electoral o en el estado del censo electoral, y que es poco probable que los datos almacenados en sus servidores de correo electrónico supongan un riesgo para las personas, a menos que se compartiera información sensible en esos mensajes.

“Cualquier persona que haya estado en contacto con la Comisión, o que se haya registrado para votar entre 2014 y 2022, debe permanecer atenta ante el uso no autorizado o la divulgación de sus datos personales”, reconoce la Comisión Electoral, añadiendo que ha puesto en marcha medidas de mitigación para protegerse contra futuros ataques de este estilo.