Un clic en el mapa catastral mostró el documento de otra persona: sitio del gobierno filtró datos de un millón de personas

Un clic en el mapa catastral mostró el documento de otra persona: sitio del gobierno filtró datos de un millón de personas

En Puerto Rico, el sitio catastral estatal podría haber dejado expuestos los números de seguro social de un millón de personas.

image

En Puerto Rico, a través de un servicio oficial con un mapa de propiedades, podrían haber estado disponibles los números de Seguro Social de aproximadamente 1 millón de personas.

La vulnerabilidad se encontraba en el mapa catastral interactivo Catastro Digital, que gestiona el Centro de Recaudación de Ingresos Municipales de Puerto Rico. El servicio muestra dónde están los límites de los predios, cómo se les valora para efectos fiscales, a qué precio se vendieron y quién posee la propiedad.

En una búsqueda habitual, la información confidencial no se mostraba. Sin embargo, una persona familiarizada con el funcionamiento de los sitios web podía solicitar directamente datos al servidor y descargar los números de Seguro Social sin nombre de usuario ni contraseña. Los periodistas comprobaron el acceso y a mediados de junio entregaron al centro la dirección del servidor y las carpetas donde se almacenaba la información.

El centro negó públicamente el problema. El director ejecutivo del centro, Javier García Cintrón, declaró que el mapa no contiene ni muestra ese tipo de información. Días después de que los periodistas hicieran la denuncia, se cerró el acceso a los datos; sin embargo, la dirección del centro se negó a admitir que se hubiera modificado algo en el sistema.

Por ley de Puerto Rico, las entidades públicas deben avisar rápidamente a las personas si sus datos personales pudieron verse comprometidos. El centro no tiene previsto notificar a los titulares de los números de Seguro Social, porque, según García, la información protegida no estuvo en riesgo. La agencia tampoco informó del incidente a la Oficina de Innovación y Tecnología de Puerto Rico, aunque las normas gubernamentales exigen remitirle información sobre cualquier evento sospechoso. El problema lo detectaron los periodistas del Centro de Periodismo Investigativo y de ProPublica.

Desde comienzos de año, los sistemas gubernamentales de Puerto Rico registraron más de 2 millones de intentos de ataque. La mitad de los casos fueron clasificados por las autoridades como críticos: pueden interrumpir servicios importantes o provocar la exposición de datos confidenciales. Anteriormente, ataques ya habían impedido a las personas inscribirse para obtener permisos de conducir, bloqueado temporalmente el acceso a la base de antecedentes penales y provocado la publicación en la dark web de datos de empleados y clientes de la compañía de agua.

En 2024, las autoridades aprobaron una ley que obligó a las instituciones públicas a cumplir requisitos mínimos sobre cómo protegen los datos y a evaluar los riesgos anualmente. Sin embargo, cuando la Oficina del Inspector General revisó las agencias, detectó deficiencias en 90 de ellas. Alrededor del 60% no analizaba las vulnerabilidades de sus sistemas informáticos. Expertos consideran que reglas dispersas permiten a las instituciones decidir por sí mismas cómo proteger los datos personales, por lo que muchas corrigen las consecuencias solo después del incidente.