El envío de los correos masivos por parte del Ministerio de Educación da cuenta del uso indebido de los datos de l@s apodera@s almacenados en las bases de datos del Ministerio de Educación, situación agravada cuando dicha base de datos es facilitada a una empresa altamente cuestionada -emBlue-y que presenta vulnerabilidades de seguridad informática.
Por Joshua Provoste y Danny Rayman
Proyecto Admisión Justa
Desde hace algunos meses, el gobierno de Chile ha impulsado el proyecto de ley sobre ingreso escolar denominado “Admisión Justa”, que ha sido objeto de críticas, entre ellas, el despliegue de recursos utilizado para la propaganda comunicacional, particularmente con la vocería y liderazgo de la Ministra de Educación Marcela Cubillos, que ha incluido giras por distintas regiones del país y una campaña de desinformación respecto del sistema de admisión escolar actual. La aparición en los medios de comunicación de la Ministra Cubillos se ha incrementado luego que los parlamentarios de la Cámara de Diputados han hecho pública su voluntad de rechazar el proyecto de ley, votación que se realizará el día 13 de mayo próximo.
Hasta aquí lo descrito no se presentaba nada novedoso con relación a la forma en que se defienden y critican propuestas entre gobierno y oposición, pero esta semana se conocieron varias denuncias por parte de personas que postularon a sus hijas e hijos a establecimientos educacionales, a través del sistema de admisión escolar actual, quienes recibieron correos electrónicos enviados desde la cuenta de la Ministra de Educación .
Al respecto, la ministra reconoció en medios de prensa la utilización de la base de datos del Ministerio de Educación, en particular la que almacena la información de las personas que postularon al sistema de admisión escolar para el envío de correos masivos en favor del proyecto Admisión Justa; correo que a su vez hace mención a la existencia de un bloqueo legislativo al referido proyecto (Ver correo acá).
Ministerio de Educación S.A. y su SPAM
La utilización de la base de datos para fines de campaña política o legislativa en favor de un proyecto de ley, por parte del Ministerio de Educación, está lejos de cumplir con una de las finalidades informadas a quienes (titulares de datos) postularon al sistema de admisión escolar; es más, tampoco se les informó o solicitó autorización expresa para que sus datos fueran transferidos a una empresa externa del Estado, lo que hace que esta situación sea aún más grave, y nos ha permitido advertir también vulnerabilidades a la seguridad de la información de la empresa de emailing emBlue.
En primer lugar, conforme a la Ley 19.628 sobre Protección de la Vida Privada, conocida como Ley de Protección de Datos, el tratamiento de los datos personales sólo puede efectuarse conforme a la ley o cuando el titular consienta expresamente a ello. Lo anterior además implica que el titular de los datos, que autoriza su uso, debe ser debidamente informado respecto del propósito del almacenamiento de sus datos personales y su posible comunicación al público.
En este caso, conforme al Protocolo de Manejo de Datos del Sistema de Admisión, los datos personales ingresados por l@s apoderad@s a la “Plataforma Web de Postulación” serían utilizados exclusivamente para fines asociados a la postulación y resultados, siendo únicamente registrados y procesados para el análisis estadístico y anónimo de los tráficos de información. Sin embargo, tal como los apoderados y apoderadas han revelado, e incluso como la misma ministra Cubillos ha reconocido, esos datos se han utilizado con finalidades distintas a las autorizadas por la ley, y a las informadas y autorizadas por los titulares de los datos.
Adicionalmente, y luego de haber tenido acceso a correos electrónicos de l@s apoderad@s, es posible afirmar que el Ministerio de Educación también contravino el Protocolo al declarar que los datos personales que registre y procese para el análisis estadístico y anónimo de los tráficos de información, serán objeto de un tratamiento automatizado e incorporados a ficheros de su propiedad no accesibles a terceros. Sin embargo, la base de datos ha sido entregada a la empresa emBlue.
Lo anterior, no sólo viola el protocolo informado a l@s apoderad@s postulantes por la plataforma del sistema de admisión escolar, sino que más grave aún transgrede expresamente el Reglamento del Proceso de Admisión de Estudiantes (Aprobado por el Decreto 152 de 2016 del Ministerio de Educación), al que el mismo documento hace referencia. La Plataforma de Registro es el sistema informático web utilizado para el proceso de admisión, el que según el reglamento tendría básicamente tres funciones:
- Informar respecto de las características de los establecimientos y los procedimientos de admisión;
- Registrar las preferencias de los apoderados respecto de los establecimientos a los que postulan y;
- Informar los resultados de las postulaciones.
Es decir, dentro de las funciones de la plataforma no se admiten más tratamientos que los 3 señalados: entregar información sobre el establecimiento, postular e informar resultados, exclusivamente. Estas finalidades son concretas y específicas, cualquier otro tratamiento constituye un desvío de la finalidad.
A lo largo de todo el Reglamento es posible advertir que las comunicaciones a realizar a l@s apoderad@s están expresamente definidas en cuanto a remitente y su finalidad, en caso alguno se hace alusión a comunicaciones o información, por parte del Ministerio de Educación, distinta a los resultados de las postulaciones. Esto no sólo es grave porque se están utilizando ilícitamente las bases de datos del Estado para fines distintos a los autorizados por los titulares de datos, sino además se realiza un acto de proselitismo político respecto de un proyecto que se vota este lunes 13 de mayo en la Cámara de Diputados.
En segundo lugar, no se debe perder de vista que el tratamiento que tiene autorizado el Ministerio implica el tratamiento de datos de menores de edad, los que son conocidos por el ente público porque su apoderad@, representante para estos efectos, los ha transmitido por disposición de la ley. La información de esos niños, niñas y adolescentes (su postulación y su admisión o no a los establecimientos educacionales), se transformó en la información más importante que utilizó el Ministerio de Educación para dirigir comunicaciones a destinatarios identificados, sobre los contenidos del proyecto de ley que quiere promover.
Los datos de niños, niñas y adolescentes son datos especialmente protegidos o sensibles, respecto de los cuales deben operar las más altas medidas de seguridad, entre ellas, controles de acceso y de tratamiento. Lo ocurrido en estos días da cuenta de la falta total de estas medidas.
En tercer término, la jurisprudencia administrativa de la Contraloría General de la República ha sido categórica en insistir que no está permitido “que los funcionarios ocupen el tiempo de la jornada de trabajo o utilizar bienes del organismo para fines ajenos a los del servicio”, pues atentan contra los principios de probidad administrativa. Así, el año 2017 mediante el dictamen Nº 1.156, se estableció que “ejecutar actividades, ocupar tiempo de la jornada de trabajo o utilizar personal, material o información reservada o confidencial del organismo para fines ajenos a las institucionales y realizar cualquier actividad política dentro de la Administración del Estado” se encuentra expresamente prohibido.
Los peligros del SPAM de la campaña de la Ministra Cubillos
Ahora, el problema no queda ahí. El uso de bases de datos para el envío de spam es una práctica tan común como aborrecida. Uno de los problemas que existen es que algunas de las empresas de mailing, que se dedican al envío de correos masivos, se han visto en ocasiones relacionadas a la apropiación ilícita de las bases de datos proporcionadas por sus clientes para luego reutilizarlas en campañas de email masivo de otros clientes; estas empresas también generan bases de datos aprovechando brechas de seguridad en aplicaciones web y servidores, extrayendo direcciones de e-mail utilizando software de crawling o scrapping, o comprando bases de datos cuyo origen es desconocido o dudoso.
Estos son justamente, algunos de los peligros al que nos enfrentamos cuando el Estado comunica sus bases de datos a terceros. Es por ello, que tanto la comunicación de datos como también el respeto del principio de finalidad sean esenciales para resguardar nuestra información frente a terceros.
El problema está justamente en que la empresa intermediaria que realizó el envío masivo con el mensaje de la ministra, ha sido denunciada muchas veces por enviar spam utilizando bases de datos de sus clientes.
Algunos de estas denuncias y casos son los siguientes:
Hola @embluemail es casualidad que TODOS tus clientes me mandan spam? Hagamos algo, si me llega un mail no solicitado mas, te denuncio a la DNPDP, dale?
— Gaston Bercun (@GastonBercun) August 24, 2018
@embluemail pueden dejar de vender mis datos a todos sus usuarios. No paro de recibir spam de empresas que no tengo idea que existen y que jamás me anote. Son una pesadilla.
— Ricardo Sarmiento (@ricsarmiento) March 7, 2019
https://twitter.com/thisIsYeku/status/1079667854549663744@embluemail son una máquina de mandar spam, sin suscribirte te tardarán la cuenta, insoportables
— Adrian Scabuzzo (@AdrianScabuzzo) January 24, 2019
me manda un mail fundación telefónica de "felices fiestas"
— runixo (@runixo) December 20, 2018
ideal para desuscribirme
hago click@embluemail me pide que ponga *mi mail para desuscribirme*
vuelvo a gmail; "mark as spam"
por las buenas o por las malas.
Una vez mas, recibí un spam y de quién viene? adivinaste @embluemail
— carlos francavilla (@cafrancavilla) July 18, 2018
El peor spammer de Argentina, es la enésima vez que les digo me den de baja de sus bases de datos pero nada, ellos dicen que las trae el cliente, gran casualidad.
Ahora por lo menos les funciona el link para "desuscribirse”. De ahí a que te den pelota… #Spam
— E (@_nesto) March 13, 2018
.@embluemail hace 2 años que me envía spam de distintas empresas, me desuscribí unas 100 veces, me siguen llegando mails y el helpdesk se caga en el reclamo.
— Echo (@icmp_0) November 19, 2017
Nunca les di mi mail.
Sigan jodiendo, soretes.
@embluemail son una máquina de Spam. Todos los días Spam y Spam powered by embluemail.
— Sebastian Djain (@sdjaen) October 10, 2017
Me tiene podrido mandando SPAM @embluemail ¿Por que no se meten la publicidad en el centro del orto? Manga de hijos de puta.
— Favio 🦠 (@phaviox) August 1, 2017
hola @embluemail me están llenando el correo de spam. Nunca me suscribí a ninguna lista. Paren con esta basura de una maldita vez.
— Marcelo (@marcelot2014) July 22, 2017
Además de las denuncias públicas que los afectados han realizado en diferentes países, es posible encontrar también sitios web, directorios y blog en donde se evidencia a emBlue por sus prácticas de spam ilegal:
emBlue, pese a declararse como una empresa que respeta las normas de protección de datos y establecer en sus términos y condiciones del servicio que éste es acorde al Reglamento Europeo de Protección de Datos, su línea de marketing está centrada 100% en el siguiente discurso: “¿Cómo enviar emails masivos sin permiso del destinatario y lograr saltarse los filtros de spam para llegar a la bandeja de entrada?”. Esto, a todas luces, demuestra que saben, claramente, lo que están haciendo; la empresa sabe que su core y modelo de negocios es el spam, por lo tanto, hacen todo lo posible en cuanto a marketing y aspectos técnicos para capacitar a sus clientes y revendedores sobre cómo evitar caer en la bandeja de spam o correo no deseado en sus envíos de email masivos. Así lo ha señalado el Director de emBlue Colombia, Alejandro López, tal como se puede ver en el siguiente Twitt:
https://twitter.com/alejolopeza/status/1123671443475247104 (Alejandro López, Director emBlue Colombia)
Y también lo ha manifestado la empresa emBlue a través de su cuenta oficial:
https://twitter.com/embluemail/status/1045300846081318912 (Cuenta oficial de emBlue en Twitter)
Como podemos ver, emBlue es una empresa que ha sido cuestionada debido a su vinculación con conductas relacionadas a apropiación ilegal de bases de datos, práctica del spamming, facilitación de plataformas tecnológicas para el envío de spam, y a la capacitación técnica a terceros (clientes directos y revendedores) para incurrir en el envío masivo de correos no deseados y saltar los filtros de servidores anti-spam.
Adicionalmente, y aún más grave es el hecho que la seguridad de su plataforma online para el envío de correos masivos permite con facilidad advertir brechas de seguridad. El año 2018, el investigador de seguridad informática peruano Luis Vargas, notificó una vulnerabilidad de tipo open redirect que aún no ha sido mitigada. Con este dato, revisamos la plataforma tecnológica de emBlue y encontramos tres problemas de seguridad adicionales, una nueva vulnerabilidad de tipo open redirect, la curiosa forma en la que es posible acceder a las estadísticas de envío de los clientes de emBlue, y la fuga de información en Internet de más de 2,400 correos:
https://app.embluemail.com/Frontend/IndexInvitado?rs=a0addd2f-cfbb-4a66-9c5c-ea1118a45140
https://app.embluemail.com/Online/VO.aspx?6i5-R-ek4eo98dbKwutvwC-R-6a9am
https://app.embluemail.com/Online/VO.aspx?8e4-R-ek3fi47cbKwutvwC-R-5a3ck
Lo anterior deja de manifiesto varias situaciones preocupantes:
- Existe una conducta ilegal que vulnera la protección de datos de las personas por parte del Estado, conducta que pareciera ser normalizada según las declaraciones de la titular del Ministerio de Educación, quien señaló que cada mes se enviaban correos masivos.
- El Estado facilitó estas bases de datos a terceros para la prestación de servicios de correos masivos, sin autorización de los titulares de los datos a la empresa emBlue, la que no sólo a sido cuestionada por sus malas prácticas, sino también por sus vulnerabilidades de seguridad informática, generando aún más riesgos respecto del uso de las bases de datos del Estado por parte de terceros.
En relación a esto último, el gobierno tiene en tramitación un proyecto de ley sobre transformación digital del Estado (Boletín Nº 11.882-06) que supone la unión de una serie de bases de datos para facilitar la atención ciudadana. Sobre dicho proyecto no hay mención alguna acerca de las restricciones que tendrá la autoridad política sobre ese gran volumen de información, abriéndose múltiples interrogantes sobre la protección, resguardo y uso debido de nuestros datos personales.
Desde Fundación Datos Protegidos evidenciamos el tratamiento indebido de datos de carácter personal por parte de organismos públicos, situación que se agudiza ante una deficiente normativa vigente que impide el acceso y el ejercicio de los derechos de los titulares cuando se trata del tratamiento de su información personal. Las consecuencias públicas de este caso y el proceder desde la autoridad y la sociedad civil serán esenciales para erradicar prácticas de este tipo en que el tratamiento de nuestros datos personales tiene poco de “justo”.