En julio, el investigador de ciberseguridad Bob Diachenko encontró lo que parecía ser una lista de vigilancia del FBI con los datos personales de cerca de dos millones de sospechosos de terrorismo. Diachenko se apresuró a presentar un informe al Departamento de Seguridad Nacional, con la esperanza de que la agencia emitiera algún tipo de parche para evitar que estos datos se filtraran a manos equivocadas, y así fue, aproximadamente tres semanas después.
«No está claro por qué ha tardado tanto, y no sé con certeza si alguna persona no autorizada ha accedido a ella», escribió Diachenko el lunes en un post de Linkedin en el que describía el incidente, del que informó por primera vez Bleeping Computer. Añadió que el servidor expuesto en el que encontró la lista de vigilancia ya estaba disponible libremente en motores de búsqueda aptos para hackers como Censys y Zoomeye, sin necesidad de contraseñas.
Según Diachenko, el conjunto de datos procedía del Terrorist Screening Center (TSC) o Centro de Detección de terroristas, un colectivo federal dirigido por el FBI responsable de mantener los miles de registros de la lista de exclusión aérea del gobierno, un subconjunto de la lista de vigilancia terrorista del FBI, mucho más amplia. El TSC incluye «socios internacionales selectos», según el FBI. Diachenko afirma que la dirección IP vinculada a la base de datos filtrada tenía su sede en Bahréin.
En pocas palabras, la lista de exclusión aérea es exactamente lo que parece: una lista de personas calificadas por el gobierno federal como posibles amenazas terroristas y a las que se les prohíbe embarcar en cualquier avión con destino dentro o fuera de los Estados Unidos.
Esta parece ser la lista, o una parte de la lista, que Diachenko encontró en su investigación inicial. Aunque no puede decir con seguridad si toda la lista fue expuesta en la filtración, fue capaz de encontrar alrededor de 1,9 millones de registros que detallan el estado de prohibición de vuelo de las personas, nombres completos, ciudadanía, géneros, números de pasaporte, y más.
«No sé qué parte de la lista de vigilancia completa del TSC se almacenó», escribió, «pero parece plausible que toda la lista quedara expuesta».
Sin duda, algunos de los nombres en ese mar de registros van a pertenecer a personas inocentes. La lista de exclusión aérea es conocida por marcar a personas inocentes como amenazas potenciales para la seguridad nacional basándose en datos erróneos, y luego hacer que sea casi imposible que se eliminen sus nombres.
El pasado mes de abril, un hombre de Michigan se asoció con la Unión Americana de Libertades Civiles para demandar al director del FBI, Christopher Wray, después de que la agencia le acusara falsamente de ser un agente de Hezbolá y le pusiera la etiqueta de «prohibido volar».
«La lista de vigilancia terrorista está formada por personas sospechosas de terrorismo pero que no han sido necesariamente acusadas de ningún delito», escribió Diachenko.
«En las manos equivocadas, esta lista podría utilizarse para oprimir, acosar o perseguir a las personas de la lista y a sus familias. Podría causar cualquier cantidad de problemas personales y profesionales a las personas inocentes cuyos nombres están incluidos en la lista.»
