jueves, julio 9, 2026
spot_img
InicioNacionalesCRIM expuso números de Seguro Social de un millón de personas en...

CRIM expuso números de Seguro Social de un millón de personas en PR

Por Luis Valentín, Centro de Periodismo Investigativo, y Nick McMillan, ProPublica

La agencia gubernamental que recauda las contribuciones sobre la propiedad en Puerto Rico expuso inadvertidamente los números de Seguro Social de aproximadamente un millón de personas, supieron el Centro de Periodismo Investigativo (CPI) y ProPublica.

Este es el más reciente fallo de ciberseguridad del Gobierno de Puerto Rico, que en los últimos tres años ha visto cómo las brechas de seguridad han causado la interrupción de servicios gubernamentales, dejado sitios web fuera de servicio y provocado que información personal de los ciudadanos sea publicada en la dark web.

El CPI y ProPublica tuvieron conocimiento de la vulnerabilidad vinculada al mapa interactivo de propiedades del Catastro Digital, que es administrado por el Centro de Recaudación de Ingresos Municipales (CRIM), y notificaron a la agencia a mediados de junio.

La herramienta en línea ofrece información sobre todas las propiedades registradas en Puerto Rico, como su cabida, linderos, valor sujeto a contribución, precio de venta y dueño.

Aunque una búsqueda simple en el mapa no revelaba información sensible, cualquier persona que sepa cómo los sitios web solicitan datos podía descargar información personal que estaba disponible, como números de Seguro Social, sin necesidad de un nombre de usuario ni una contraseña.

El CPI y ProPublica pudieron verificar el fallo de seguridad y dieron al CRIM una descripción detallada del problema, que incluía el nombre del servidor y de las carpetas específicas en las que se encontraban los datos comprometidos.

A pesar de la notificación, el CRIM negó reiteradamente que hubiera problemas con su sistema.

“Tras una revisión de la Plataforma de Catastro Digital, se determinó que NO hubo ninguna vulnerabilidad de información personal confidencial de contribuyentes, ya que el Catastro Digital NO contiene, ni muestra ese tipo de información a la que se hace alusión”, dijo en declaraciones escritas el director ejecutivo del CRIM, Javier García Cintrón.

Pero, pocos días después de contactar al CRIM, el CPI y ProPublica pudieron constatar que los fallos de seguridad habían sido corregidos.

García negó que esto hubiera ocurrido, ya que “no hubo necesidad de corregir el alegado problema”. En Puerto Rico, existe una ley que requiere que cualquier entidad, incluidas las agencias gubernamentales, notifique con prontitud a los usuarios si su información personal ha sido comprometida. Pero García dijo que su agencia no se comunicaría con los usuarios para informarles que sus números de Seguro Social podrían haber estado expuestos, “al no haber estado en riesgo ninguna información protegida”.

El CRIM tampoco notificó al Puerto Rico Innovation & Technology Service (PRITS), la entidad que supervisa todos los sistemas tecnológicos del Gobierno. El protocolo gubernamental de ciberseguridad exige informar a PRITS sobre “cualquier incidente de seguridad sospechoso”.

Por medio de su portavoz, PRITS rechazó contestar preguntas sobre este tema y dijo que debían enviarse mediante la Ley de Transparencia y Procedimiento Expedito para el Acceso a la Información Pública de Puerto Rico, cuyo propósito es permitir a la ciudadanía obtener información gubernamental, no responder preguntas de la prensa.

En lo que va de año, se han registrado más de dos millones de intentos de ciberataques al Gobierno de Puerto Rico, según datos de PRITS. De acuerdo con la agencia, la mitad de los ataques fueron considerados incidentes críticos, que implican “impacto severo en operaciones críticas, datos sensibles comprometidos o amenaza inminente a la seguridad de la agencia o datos gubernamentales”.

En marzo, los ciudadanos vieron pospuestas sus citas para obtener licencias de conducir y registros de vehículos tras un intento de ciberataque contra los sistemas del Departamento de Transportación y Obras Públicas. El año pasado, los residentes de Puerto Rico no pudieron obtener durante casi una semana certificados de antecedentes penales que necesitan para conseguir empleo debido a un “acceso no autorizado” a la base de datos del Departamento de Justicia. En 2023, clientes y empleados de la Autoridad de Acueductos y Alcantarillados vieron su información personal publicada en la dark web tras un ataque de cibersecuestro de datos.

El aumento en los ataques llevó a la Legislatura a aprobar en 2024 una ley de ciberseguridad, la Ley 40, que ordenó a todas las agencias gubernamentales implementar estándares y principios mínimos de ciberseguridad. También estableció penalidades por incumplimiento y exigió a todas las agencias gubernamentales realizar una evaluación de riesgos al menos una vez al año.

Pero tres expertos en ciberseguridad dijeron que las agencias no han implementado plenamente los estándares de seguridad establecidos por la ley, aun cuando los ataques son cada vez más frecuentes y sofisticados. En lugar de evaluar y atender periódicamente las vulnerabilidades que permiten estos ataques, las agencias actúan de forma reactiva, dijeron.

Un informe de la Oficina del Inspector General de Puerto Rico publicado a finales del año pasado encontró deficiencias en 90 agencias, y 60% de ellas no había realizado evaluaciones de vulnerabilidad de sus sistemas de tecnología.

El Gobierno “estaría mucho mejor” si se enfocara en adiestrar a sus empleados e implementara herramientas como combinar métodos de identificación y acceso, como por ejemplo la autenticación multifactor, dijo Carlos Pérez, experto en ciberseguridad en Puerto Rico y director de inteligencia de seguridad en TrustedSec, una empresa que ofrece consultoría a gobiernos y compañías privadas.

“Estamos atendiendo el síntoma, pero no la enfermedad”, dijo.

En la mayoría de los casos, la ley de ciberseguridad se queda corta al no exigir estándares uniformes en todo el Gobierno, dijo un exempleado gubernamental de tecnología, quien pidió no ser identificado por temor a repercusiones profesionales. Esa falta de un marco de seguridad uniforme ha permitido que las agencias decidan por su cuenta cómo protegen los datos personales que manejan.

García explicó que, como parte de las medidas de seguridad del CRIM, esa agencia utiliza contraseñas, nombres de usuario y mensajes de texto para validar la identidad. Rechazó que alguien pudiera acceder a la base de datos del Catastro Digital sin contraseña, salvo para realizar búsquedas individuales a través del sitio web público.

La posibilidad de acceder a números de Seguro Social a través del mapa de propiedades del CRIM genera preocupación ante la proliferación de compañías privadas que venden información sobre bienes raíces obtenida de bases de datos públicas como el Catastro Digital. Cualquiera de esas compañías pudo haber accedido a los datos, incluida la información personal.

Al menos tres compañías de información de bienes raíces contactadas por el CPI y ProPublica dijeron que no tenían conocimiento de ninguna vulnerabilidad relacionada al Catastro Digital y que no accedieron a los datos sensibles.

Este artículo fue producido para la Red de Reportajes Locales de ProPublica en alianza con el Centro de Periodismo Investigativo.  

Esta traducción se generó con la ayuda de Inteligencia Artificial y fue revisada por nuestro equipo editorial para garantizar su precisión y claridad.

RELATED ARTICLES

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Las Más Leídas

Comentarios Recientes

G A Giles, director del Museo de la Base en Logran rescatar el histórico Teatro Roxy de Aguadilla