Una falla de seguridad crítica en los sistemas de gestión de jurados utilizados en varios estados de EE. UU. y Canadá ha expuesto datos personales confidenciales de posibles jurados, incluidos nombres, direcciones y respuestas detalladas a cuestionarios. La vulnerabilidad, identificada por un investigador de seguridad y reportada exclusivamente por TechCrunch, afecta al menos a una docena de sitios web impulsados por el fabricante de software gubernamental Tyler Technologies.
La naturaleza de la vulnerabilidad
El problema central radica en la falta de medidas de seguridad básicas: las plataformas utilizan números de identificación de jurado incrementales secuencialmente que pueden ser fácilmente forzados por fuerza bruta. Fundamentalmente, los sistemas carecen de limitación de velocidad, lo que significa que los atacantes pueden inundar las páginas de inicio de sesión con conjeturas sin restricciones. Esto permite el acceso no autorizado a perfiles completos de los jurados, que contienen no sólo información de contacto sino también detalles profundamente personales recopilados a través de cuestionarios obligatorios.
¿Qué datos quedaron expuestos?
Los datos expuestos incluyen:
- Nombres completos, fechas de nacimiento y datos de contacto (correo electrónico, número de teléfono, domicilio).
- Información personal detallada: ocupación, origen étnico, nivel educativo, estado civil, situación parental, ciudadanía e antecedentes penales.
- Datos de salud potencialmente sensibles: Los jurados que solicitan exenciones por razones médicas pueden haber revelado condiciones descalificantes.
Este nivel de exposición es particularmente preocupante porque los datos de los jurados a menudo se consideran confidenciales para proteger la imparcialidad y evitar la intimidación.
Respuesta de Tyler Technologies
Después de ser alertado sobre la falla el 5 de noviembre, Tyler Technologies reconoció la vulnerabilidad el 25 de noviembre, afirmando que “es posible que se haya podido acceder a parte de la información del jurado mediante un ataque de fuerza bruta”. La compañía afirma haber desarrollado una solución, pero aún no ha confirmado si se produjo un acceso malicioso o si se notificará a las personas afectadas.
Historial de exposición de datos
Este no es un incidente aislado. En 2023, Tyler Technologies estuvo implicada anteriormente en otra importante filtración de datos, en la que los sistemas de registros judiciales de EE. UU. expusieron datos confidenciales sellados, incluidas listas de testigos, evaluaciones de salud mental y secretos comerciales. También se encontraron problemas similares en los sistemas proporcionados por Catalis y Henschen & Associates, lo que destaca un problema sistémico más amplio en la seguridad de la tecnología gubernamental.
Por qué esto es importante
La exposición repetida de datos gubernamentales confidenciales plantea serias dudas sobre los estándares de ciberseguridad para los proveedores que manejan infraestructura crítica. Los datos de los jurados son especialmente vulnerables al uso indebido, lo que podría provocar acoso, intimidación o incluso robo de identidad. La falta de transparencia de Tyler Technologies con respecto a posibles infracciones agrava aún más el problema, dejando a las personas expuestas sin saber si sus datos se vieron comprometidos.
El incidente subraya la necesidad urgente de auditorías de seguridad más estrictas y medidas de protección de datos más sólidas en los sistemas gubernamentales. Hasta entonces, el riesgo de que se produzcan exposiciones similares sigue siendo alto, poniendo en peligro la integridad del sistema judicial y la privacidad de los ciudadanos comunes.
