La Oficina de Aduanas y Protección Fronteriza de EE.UU. (CBP, por sus siglas en inglés) reveló hoy que un hacker no identificado logró vulnerar la seguridad informática de uno de sus subcontratistas, robando una base de datos que contenía fotografías de los viajeros e imágenes de las licencias de los contratistas.
De momento, la agencia no ha mencionado cuál fue la magnitud del ataque ni cuáles fueron los contratistas afectados, sin embargo, el incidente plantea serias interrogantes sobre el polémico interés de la CBP por el uso del reconocimiento facial en los aeropuertos estadounidenses. De hecho, la agencia planea que los 20 principales aeropuertos del país incluyan esta tecnología para el año 2021.
En declaraciones a Wired, la asesora principal del Centro de Información de Privacidad Electrónica, Jeramie Scott, dijo en respuesta al incidente:
El programa de CBP debe suspenderse en espera de una investigación (…) La agencia simplemente no debe recopilar esta información personal confidencial si no puede salvaguardarla.
Sobre el hackeo
Aunque la CBP no reveló la identidad del subcontratista afectado por el hackeo, la agencia envió un documento a uno de sus vendedores titulado “Declaración pública de CBP Perceptips”, lo que quiere decir que la firma Perceptips, con sede en Tennessee, es la compañía afectada por la violación.
En mayo pasado, Perceptips fue víctima de un hackeo similar, cuando un hacker apodado “Boris Bullet-Dodger”, publicó en la Dark Web cientos de gigabytes de datos extraídos de la firma. Por ahora, no queda claro si la violación reportada por el CBP es la misma que el hackeo de Perceptips, el cual se hizo público el pasado 23 de mayo.
Por su parte, la agencia tampoco ha ofrecido detalles sobre la cantidad de personas afectadas, por lo que la preocupación entre los usuarios ha aumentado. Los únicos que saben lo que realmente ocurrió son la CBP, un subcontratista hasta ahora anónimo, y el hacker.
Lo preocupante de este incidente es que una agencia gubernamental tan interesada por obtener datos de sus viajeros y aplicarles su tecnología de reconocimiento facial, no sea capaz de garantizar la seguridad de los datos que recopila, permitiendo a terceros acceder a ellos de forma indiscriminada.