The Salvadoran hacktivist group CiberInteligenciaSV leaked the credentials and data of a platform used by Nuevas Ideas to track and monitor Salvadoran voters, members of Election Monitoring Boards (JRV), and members of the party’s territorial structure who voted in the municipal and Central American Parliament (PARLACEN) elections on March 3, 2024.
The leak occurred on Friday, May 17, and consisted of the publication of data contained within the site https://apiv1.nuevasideas.com, attributed to the ruling party, where sensitive information of voters, JRV members, lawmakers, mayors, and party bases of Nuevas Ideas, including their affiliates, was stored.
LA PRENSA GRÁFICA verified that the directories published by the hacktivist group contain a list of calls made by the ruling party to thousands of Salvadorans; the personal data of citizens who were members of the JRV, both by Supreme Electoral Tribunal (TSE) lottery and proposed by Nuevas Ideas; and a report of affiliate data and the party’s territorial structure, detailing whether its members went to cast their vote or not.
The cyberactivists also published the site’s users and login credentials, which were available for at least 37 minutes after the leak. This website was used by Nuevas Ideas to store sensitive voter information, such as full name, Unique Identity Document (DUI) number, and whether or not they voted.
“The leaked documents were downloaded from an API, which is an interface where several applications converge. These reveal detailed tracking of voters, and the implications are serious.”
— IT specialist, on condition of anonymity
The site, which was taken down by the administrator after the attack, is an API or “application programming interface”; that is, “a way to make programs or applications communicate with each other,” according to an IT specialist consulted by this media.
This API included all kinds of relevant data to measure the vote in favor of the ruling party during the last elections; although hackers do not rule out that it was also used in the February 4 elections.
“It is a user interface that reveals detailed tracking of voters, so the implications are serious at the level of people’s privacy,” said the IT specialist, who requested anonymity for security reasons.
This application contains, for example, reports on the mobilization of monitors, typists, and voting center chiefs; as well as a repository of JRV minutes and their tabulated results, an application for digitizing minutes; the arrival of center chiefs, monitors, typists, exit poll data, and even the monitoring of the installation of “assistance” canopies outside voting centers, an action that was widely criticized by opponents due to the use of ruling party electoral propaganda.
“The vote is secret”
This media consulted with IT specialists and TSE technicians about the implications of this leak, and whether privileged information was provided to Nuevas Ideas to set up this website. In addition, it gathered the testimony of one of the Nuevas Ideas affiliates affected by the data leak.
According to an electoral source, the Nuevas Ideass site contains information that is held by the TSE, such as the DUI of citizens who were members of the JRV, their phone numbers, and even the electoral registry. The latter, they said, is provided “to all parties, specifically to the Electoral Monitoring Board (JVE) so that everyone has equal access.”
Thus, they said, all parties had access to the list of 6.3 million Salvadorans eligible to vote inside and outside the country, as well as lists of electoral rolls by locality. “This is information that is delivered by law,” they explained.
“They say it is a protest against the government for not protecting the data, but it is ours (…) if the protest is against the government, it should be their data exposed, not that of the population.”
— Nuevas Ideas Affiliate, on condition of anonymity
However, other sources within the Tribunal questioned the type of information the ruling party had access to, specifically related to voter turnout. As a technician explained, although the party conducted exit polls to measure trends and build a database; “to determine who voted or not requires all JRVs to report it.”
The TSE employee explained that after each election, signature rolls are digitized to produce a document called “Voted,” which contains municipal consolidated data separated by sex and age groups, “but for this election, it hasn’t been done yet,” they said.
“Knowing whether someone voted or not is a power of the Tribunal, yes; but it never gives that data by person (…) The TSE is the electoral authority, but a political party having this data is different. It is not expressly prohibited by law, but it is not normal. The vote is secret,” they explained.
This media also contacted Nuevas Ideas affiliates whose data were compromised in this leak, including active members of the party’s structure who requested their identity be withheld. The published directories contain identification documents, phone numbers, addresses, and in some cases, whether they voted or not.
One of the affected Nuevas Ideas affiliates stated that “there is fear that a group of hackers has my data, and now anyone can access it.”
“They say it is a protest against the government for not protecting the data, but it is our own (…) I think if the protest is against the government, it should be their data exposed, not that of the population,” they expressed.
However, another Nuevas Ideas member acknowledged that it is also the party’s responsibility to safeguard the data with greater security measures. “In some way, we are being warned that they can expose whether we voted or not; next comes who we voted for, and this can have very serious consequences,” they said.
“Knowing whether someone voted or not is a power of the Tribunal, yes; but it never gives that data by person (…) The TSE is the electoral authority, but a political party having this data is different.”
— TSE Employee, on condition of anonymity
No response
Before publishing the leak, the CiberInteligenciaSV group claimed that the TSE “gave all the tools to Nuevas Ideas to commit fraud,” and this violation was done with the purpose of “exposing that Nuevas Ideas had a whole monitoring system” for voters.
LA PRENSA GRÁFICA asked the TSE magistrates about the leak of voter, monitor, and Nuevas Ideas affiliate data, whether privileged information was provided to the ruling party, and whether any measures are being taken to protect personal information; however, as of the closing of this note, there were no responses. The Nuevas Ideas party was also contacted through its communications unit, but they did not respond either.
TSE Communications was limited to clarifying that none of the institution’s platforms have been compromised and acknowledged that measures have been taken to protect the information in the Tribunal’s custody.
Hacktivistas filtran sitio de Nuevas Ideas que almacenó datos sensibles de electores
El grupo de hacktivistas salvadoreños CiberInteligenciaSV filtró las credenciales y datos de una plataforma utilizada por Nuevas Ideas para llevar el control y seguimiento de los electores salvadoreños, de integrantes de Juntas Receptoras de Votos (JRV), y de los miembros de la estructura territorial del partido que ejercieron el voto en las elecciones municipales y del Parlamento Centroamericano (PARLACEN) del 3 de marzo de 2024.
La filtración ocurrió el pasado viernes 17 de mayo, y consistió en la publicación de datos contenidos dentro del sitio https://apiv1.nuevasideas.com, adjudicado al partido oficialista, en donde se almacenó información sensible de electores, miembros de JRV, diputados, alcaldes y bases del partido Nuevas Ideas, incluyendo sus afiliados.
LA PRENSA GRÁFICA constató que los directorios publicados por el grupo de hacktivistas contienen una lista de llamadas hechas por el partido oficialista a miles de salvadoreños; los datos personales de ciudadanos que integraron las JRV, tanto por sorteo del Tribunal Supremo Electoral (TSE) como propuestos por Nuevas Ideas; y un reporte de datos de afiliados y la estructura territorial del partido, detallando si sus miembros acudieron a emitir el voto o no.
Los ciberactivistas también publicaron los usuarios y credenciales de ingreso del sitio, que estuvo disponible por al menos 37 minutos después de la filtración. Este sitio web fue utilizado por Nuevas Ideas para almacenar información sensible de los electores, como el nombre completo, número de Documento Único de Identidad (DUI), y si votaron o no.
“Los documentos filtrados fueron descargados desde una API, que es una interfaz donde coinciden varias aplicaciones. Estas revelan un seguimiento detallado de los votantes, y las implicaciones son graves”.
— Informático, en condición de anonimato
El sitio, que fue dado de baja por el administrador después del ataque, es una API o “interfaz de programación de aplicaciones”; es decir, “una forma de hacer que programas o aplicaciones se comuniquen entre sí”, según lo explicó un informático consultado por este medio.
Dentro de esta API se incluyeron todo tipo de datos relevantes para medir el voto a favor del oficialismo durante las últimas elecciones; aunque los hackers no descartan que se haya utilizado también en las elecciones del 4 de febrero.
“Es una interfaz de usuario que revela un seguimiento detallado de los votantes, por lo que las implicaciones son graves a nivel de privacidad de las personas”, indicó el informático, que pidió anonimato por motivos de seguridad.
Esta aplicación contiene, por ejemplo, reportes sobre la movilización de vigilantes, digitadores y jefes de centro de votación; así como un repositorio de actas de JRV y sus resultados tabulados, una aplicación para digitalizar las actas; la llegada de jefes de centro, vigilantes, digitadores, datos de encuestas de boca de urna y hasta el monitoreo de la instalación de canopys de “asistencia” en las afueras de centros de votación, una acción que fue ampliamente criticada por opositores debido al uso de propaganda electoral oficialista.
“El voto es secreto”
Este medio consultó con informáticos y técnicos del TSE sobre las implicaciones de esta filtración, y si se otorgó información privilegiada a Nuevas Ideas para montar este sitio web. Además, recabó el testimonio de uno de los afiliados de Nuevas Ideas que resultó afectado por la filtración de datos.
De acuerdo con una fuente electoral, el sitio de Nuevas Ideas contiene información que está en poder del TSE, como el DUI de ciudadanos que integraron las JRV, sus números de teléfono, y hasta el registro electoral. Este último, dijo, se entrega “a todos los partidos, específicamente a la Junta de Vigilancia Electoral (JVE) para que todos tengan acceso por igual”, indicó.
Así, dijo, todos los partidos tuvieron acceso a la lista de 6.3 millones de salvadoreños habilitados para votar dentro y fuera del país, así como las listas de padrones electorales por localidad. “Esto es información que se entrega de ley”, explicó.
“Ellos dicen que es una protesta contra el Gobierno por no proteger los datos, pero son nuestros (…) si la protesta es contra el Gobierno deberían ser los datos de ellos los expuestos no los de la población”.
— Afiliado Nuevas Ideas, en condición de anonimato
Sin embargo, otras fuentes dentro del Tribunal cuestionaron el tipo de información al que tuvo acceso el partido oficialista, específicamente la relacionada a la votación de los electores. Según explicó un técnico, a pesar que el partido realizó encuestas de boca de urna para medir tendencias y construir una base de datos; “para determinar quién votó o no, requiere que todas las JRV lo reporten”.
El empleado del TSE explicó que después de cada elección se digitan los padrones de firmas para sacar un documento denominado “Votaron”, el cual contiene consolidados municipales separados por sexo y grupos etarios, “pero para esta elección no se ha hecho aún”, afirmó.
“Saber si alguien votó o no es una potestad del Tribunal, sí; pero nunca entrega ese dato por persona (…) El TSE es la autoridad electoral, pero que un partido tenga estos datos es diferente. No está prohibido expresamente en la ley, pero no es normal. El voto es secreto”, explicó.
Este medio también buscó a afiliados de Nuevas Ideas cuyos datos fueron vulnerados en esta filtración, incluyendo a miembros activos de la estructura del partido que pidieron resguardar su identidad. En los directorios publicados hay documentos de identificación, números de teléfono, direcciones y en algunos casos si emitieron el voto o no.
Uno de los afiliados de Nuevas Ideas afectado aseguró que “hay temor de que un grupo de hackers tenga mis datos, y ahora cualquiera puede acceder a ellos”.
“Ellos dicen que es una protesta en contra del Gobierno por no proteger los datos, pero son nuestros (…) creo que si la protesta es contra el Gobierno deberían ser los datos de ellos los expuestos no los de la población”, expresó.
Sin embargo, otro miembro de Nuevas Ideas reconoció que es también responsabilidad del partido resguardar los datos con mayores medidas de seguridad. “De alguna manera se nos está advirtiendo que pueden exponer si votamos o no, luego viene por quién votamos, y esto puede tener consecuencias gravísimas”, afirmó.
“Saber si alguien votó o no es una potestad del Tribunal, sí; pero nunca entrega ese dato por persona (…) El TSE es la autoridad electoral, pero que un partido político tenga estos datos es diferente”.
— Empleado del TSE, en condición de anonimato
Sin respuesta
Antes de publicar la filtración, el grupo CiberInteligenciaSV aseguró que el TSE “le dio todas las herramientas a Nuevas ideas para hacer fraude”, y esta vulneración se hizo con el propósito de “exponer que Nuevas Ideas tenía todo un sistema de monitoreo” de los electores.
LA PRENSA GRÁFICA consultó a magistrados del TSE sobre la filtración de datos de votantes, vigilantes y afiliados de Nuevas Ideas, si se entregó información privilegiada al partido oficialista y si se está tomando alguna medida para proteger la información personal; sin embargo, hasta el cierre de esta nota no hubo respuestas. También se consultó al partido de Nuevas Ideas a través de su unidad de comunicaciones; pero tampoco se respondió.
Comunicaciones del TSE se limitó a aclarar que ninguna plataforma de la institución ha sido vulnerada, y admitió que se han tomado medidas para proteger la información en custodia del Tribunal.