Desprotección de datos en Secretaría de Cultura capitalina afecta a promotores culturales
Decenas de afectados fueron contactados por mail para ofertas laborales inexistentes. El mal manejo de sus datos parece venir desde dentro de la dependencia
Más que un hackeo o el acto de un grupo criminal, la exhibición de las deficiencias y vacíos en el manejo administrativo al interior de la Secretaría de Cultura de la Ciudad de México parece ser el motor detrás de la reciente filtración de datos privados de los postulantes al programa social Promotoras y Promotores Culturales de la Ciudad de México, coinciden varios de los afectados.
Estos casos se empalman con el reporte de delitos y viejas irregularidades que involucraron a instancias federales: el contacto de un grupo de defraudadores con agentes culturales inscritos en el programa Telar, denunciado en 2023, así como los intentos de fraude a nombre del INBAL que se registraron en enero del año pasado.
Un grupo de promotores —algunos piden guardar confidencialidad— recapitula los hechos: el 3 de mayo recibieron un correo electrónico a nombre de la Secretaría de Cultura capitalina, en el que se les informó que habían sido seleccionados para integrarse en el programa de este año. En el mail se incluyó una carta falsa de aceptación y se les pidió presentarse el 4 y 5 de mayo, en un horario acotado y con una serie de documentos en las oficinas institucionales de San Ángel. Un antecedente común tienen los promotores entrevistados: llenaron un formulario de Google donde depositaron datos sensibles, el cual descargaron de la convocatoria oficial de los últimos dos años. La promotora Tina Campos, quien se postuló en enero, explica: “Nosotros subimos a la plataforma documentos para participar en la convocatoria. Viene nuestra dirección, teléfono, a qué nos dedicamos, nuestra hoja de vida viene ahí: trayectoria artística, CURP, INE y comprobante de domicilio. Esos papeles ellos ya los tienen. Esos son los datos personales que se filtraron por lo que obtuvieron nuestras direcciones de correo electrónico y se pudieron comunicar con nosotros”.
Cuando Campos revisó el correo y llevó lo solicitado, la primera impresión que tuvo fue que todo era verdadero; se les pedía entregar papeles en el tercer piso, por ejemplo: “Ahí nos reciben los documentos, en el tercer piso. Se me hizo creíble, porque yo ya estuve en Servicio Social, y donde nos revisan los papeles para entrar al Servicio Social o hacer trámites de promotores es en el tercer piso”. A la promotora Isamar Mendoza, cuyo caso fue el primero en tener impacto público, le llamó la atención que la carta que recibieron estaba membretada, con firmas, logotipos oficiales y un aviso de privacidad: “Todos los logotipos correspondientes a los programas culturales, Secretaría de Cultura y gobierno de la ciudad vienen aquí, en esta carta, de modo que la hace parecer muy oficial. Así es que muchos compañeros obviamente lo dimos por certero”.
El 4 y 6 de mayo, la Secretaría publicó un comunicado y una tarjeta informativa, respectivamente, en los que se aclaró que todo
lo relacionado con el programa de promotores proviene exclusivamente de los correos oficiales
(programas.soc.comunitarios.secult@gmail.com, ddccsecultcdmx@gmail.com) y que “la Dirección de Desarrollo Cultural ha
interpuesto una denuncia ante las instancias conducentes contra la o las personas que resulten responsables por este envío”, así
como una “investigación interna para deslindar responsabilidades”.
Sin embargo, un promotor que pide confidencialidad señala: “Al cuestionar cómo terceros tuvieron acceso a mi información
personal y profesional (la cual solo fue entregada en la plataforma oficial de la Secretaría), el personal se limitó a ofrecer una
disculpa, admitiendo desconocer el origen de la filtración y mencionando que se encontraba revisando el asunto diciendo ‘que
en eso estaban’”.
La promotora Beatriz Sandoval dice: lo único que hicieron las autoridades fue responder con un acuse de recibido a un correo,
cuyo dominio, por cierto, también es de gmail. Le preocupa que, en las notas informativas oficiales y comunicados oficiales “sólo apunta, prácticamente, a culpabilizarnos porque no identificamos que no son sus correos. Y aunque sean de gmail, sus correos son otros. Ahí se queda el comunicado, no hay nada absolutamente relacionado con el robo de esa información o cómo accedieron a ella. Prácticamente nos están responsabilizando de por qué no nos dimos cuenta”.
Algo a lo que Campos añade: “Hay que revisar la dirección IP, hay que hacer una investigación, revisando la dirección IP y van a
ver que esa carta salió de ahí. Que ellos se quieran lavar las manos es otra cosa”.
Los testimonios confidenciales señalan la gravedad del asunto: los promotores terminan manejando bases de datos sensibles que no deberían tener a su cargo. Incluso, hay gente que, al ser despedida, se lleva consigo contraseñas de redes sociales y correos que después deben ser recuperadas.
“Me da solamente la impresión de que alguien le quiere hacer notar a las autoridades el descuido en el que está nuestra información”, afirma Sandoval.
Fue filtración de datos a nivel interno, retoma la palabra Campos y se pregunta, ¿cómo van a saber quiénes somos si no es por
los datos que les proporcionamos?
“Son documentos muy delicados, es lo que comentábamos varios compañeros al salir de las instalaciones. Ese es nuestro temor:
que hayan accedido a estos documentos, más allá de nuestro nombre y correo”, denuncia Mendoza, quien en un rato, la tarde
del lunes, vio a unos 20 afectados en las oficinas de la Secretaría, y estima que deben ser decenas.
Para Manuel Montes de Oca, académico de la Escuela Judicial del Estado de México, “este caso debe servir como un punto de
inflexión para replantear las políticas públicas de ciberseguridad gubernamental. No basta con emitir avisos de privacidad, se
requieren auditorías digitales permanentes, protocolos de respuesta inmediata, autenticación robusta, capacitación a los
servidores públicos y coordinación efectiva con policías cibernéticas y órganos garantes de transparencia y protección de datos
personales”.
Pueden existir —señala— medidas correctivas obligatorias, apercibimientos institucionales, órdenes de implementación
inmediata de protocolos de seguridad, auditorías tecnológicas y sanciones: “En términos de la Ley General de Responsabilidad
Administrativa está la negligencia en el servicio público, la omisión de deberes de cuidado, el manejo indebido de información
confidencial, el abuso de funciones, la falta de supervisión institucional, y esto puede decantar sanciones: la suspensión del
cargo, la destitución, la inhabilitación para ocupar cargos públicos, las sanciones económicas resarcitorias; eso es en el ámbito
administrativo. En el ámbito de la Fiscalía pueden investigar qué tipo de delitos hay, y tendríamos que, atendiendo al tipo penal,
encuadrar a la imposición de las penas y sanciones que establezca para ese tipo”.
Los afectados señalan que están evaluando las acciones a tomar y exigen explicaciones certeras, precisas, y la aceptación de responsabilidades por parte de las autoridades. A la Secretaría de Cultura local se le cuestionó al respecto, sin respuesta al cierre de edición.
