Special report: Smart Africa leaked email list was obtained without consent

• Nuestras entrevistas revelan que la abrumadora mayoría de los encuestados niega haber compartido sus datos de contacto con Smart Africa o incluso conocer la organización.
• La posesión de una lista masiva de correos por parte de Smart Africa es altamente cuestionable.

¿Qué sucedió? Un error de correo masivo revela una lista de contactos sensible

Una investigación especial de BTW Media ha revelado que la mayoría de los correos electrónicos expuestos por Smart Africa en su torpe envío del mes pasado se obtuvieron sin el consentimiento de sus propietarios.

Smart Africa distribuyó una invitación titulada “Sesión de consulta en línea sobre las elecciones de AFRINIC y el marco CAIGA” colocando a los destinatarios en el campo Para en lugar de CCO, exponiendo un gran conjunto de direcciones de correo electrónico vinculadas a AFRINIC a todos los demás destinatarios. Cobertura independiente informa que el mensaje proviene de un gerente de proyecto de Smart Africa y describe la escala como miles de direcciones, elevando el incidente de un simple error de etiqueta a un evento significativo de exposición de datos.

Lo que muestran nuestras entrevistas: La mayoría de los destinatarios rechaza cualquier noción de consentimiento

BTW Media contactó a muchos de los miembros de recursos de AFRINIC y operadores de red cuyos correos fueron expuestos. La gran mayoría nos dijo que nunca compartieron direcciones de correo electrónico con Smart Africa y, en muchos casos, “no tenían idea de quiénes son”. Las respuestas típicas incluyen: “Absolutamente no”; “No, no lo hicimos”; “Nunca compartí mi información de contacto y no di mi consentimiento”; y “No, no compartí mi correo y no los conozco”. Varios entrevistados solicitaron explícitamente que no se les contactara nuevamente. Una minoría reconoce que sus direcciones podrían ser localizables en otros lugares—por ejemplo, cuando un ingeniero acepta figurar como contacto técnico en un ASN o recurso IP—pero enfatizan que las entradas técnicas de WHOIS no constituyen un consentimiento general para comunicaciones masivas no relacionadas con la respuesta a incidentes. Ver también: La FCC respalda a los constructores de fibra con límites de permisos.

Lea también: Smart Africa filtra miles de direcciones de correo de miembros de AFRINIC

Por qué la explicación de Smart Africa se queda corta: Datos públicos vs no públicos

Existen dos fuentes de datos de contacto relacionados con AFRINIC en el registro público, y ninguna justifica claramente la posesión por parte de Smart Africa de una lista masiva consolidada de correos: Ver también: Ofcom expone la brecha de cobertura móvil en los trenes del Reino Unido.

• Las páginas de membresía de AFRINIC enumeran organizaciones y direcciones físicas por transparencia, pero no presentan un compendio descargable o navegable de correos electrónicos de miembros.
• El WHOIS de AFRINIC es un registro público oficial destinado a operaciones de Internet (abuso, enrutamiento, coordinación de incidentes) y es explícitamente accesible para cualquier persona; no es una base de datos de marketing. AFRINIC señala además que los datos masivos de WHOIS están destinados a fines operativos o de investigación.

Por el contrario, el mensaje de Smart Africa con destinatarios visibles parece dirigirse a un amplio grupo de miembros, no a contactos específicos de recursos sobre un incidente operativo. Esa discordancia entre el propósito y el uso está en el centro de las críticas expresadas por los entrevistados. Ver también: Robert Neuwirth.

Lea también: Por qué la disputa de AFRINIC va más allá de las direcciones IP: se trata de libertad

Perfil de riesgo: Se activan obligaciones de seguridad y legales

Las direcciones expuestas adyacentes al registro son atractivas para los estafadores que pueden hacerse pasar por AFRINIC o proveedores para recolectar credenciales, iniciar cambios fraudulentos de recursos o solicitar pagos. La exposición legal no es trivial: la Ley de Protección de Datos de Mauricio de 2017 requiere la notificación de violaciones al Comisionado dentro de las 72 horas cuando un controlador tenga conocimiento de una violación de datos personales, con posibles obligaciones de notificar a las personas afectadas si el riesgo es alto. Si la lista se origina dentro de AFRINIC o de un contratista de AFRINIC, surgen preguntas sobre los roles de controlador/procesador y la base legal para la divulgación; si Smart Africa compiló la lista de fuentes dispares, aún debe demostrar una base legal válida para el procesamiento. Ver también: La UE reescribe las reglas de soberanía de la infraestructura de IA.

El creciente papel de Smart Africa – y por qué se aplican estándares más altos

Smart Africa se posiciona como una plataforma de convocatoria para la transformación digital de África y recientemente ha publicitado una respuesta continental coordinada a la crisis de gobernanza de AFRINIC. Esa pretensión de liderazgo agudiza las expectativas en torno a la gobernanza de datos: un organismo que busca influir en los resultados de la gobernanza de Internet debe cumplir con una higiene básica de privacidad y seguridad, incluido el control de acceso estricto a las listas, registros de consentimiento explícito y el uso predeterminado de CCO para cualquier envío externo. Ver también: La UE expulsa a los operadores satelitales estadounidenses del espectro.

Lea también: El ‘Comité de Reformas’ secreto de AFRINIC genera nuevas preocupaciones sobre la gobernanza de Internet en África

Lo que Smart Africa debe responder ahora

• Procedencia: ¿Cómo obtiene Smart Africa una lista de correos similar a la de miembros que no es pública en el sitio de AFRINIC? Si se recibió de alguna fuente de AFRINIC, ¿cuál es la base legal y qué acuerdos rigen la transferencia? Si se compiló externamente, ¿cuál es la base del procesamiento y la limitación del propósito?
• Respuesta a la violación: ¿Quién es el controlador de este conjunto de datos y se han activado las notificaciones requeridas de 72 horas? ¿Se está advirtiendo a las personas afectadas contra el phishing (con orientación DMARC/DKIM/SPF) y se les proporciona un punto de contacto para la remediación?

Contexto para los lectores: Lo que WHOIS hace—y no hace

Para entender el matiz planteado por nuestras fuentes, conviene recordar que IANA asigna rangos de números AS a los registros regionales, y cada RIR publica WHOIS para que los ingenieros puedan contactar rápidamente a las personas adecuadas. En la región de AFRINIC, esa transparencia es fundamental para la estabilidad del enrutamiento, pero no es un cheque en blanco para una movilización política o de políticas amplia sin consentimiento. Ver también: La FCC exige licencias para los aterrizajes de cables submarinos en EE. UU..

Conclusión de las entrevistas

El mensaje abrumador de aquellos que contactamos es simple: no dan su consentimiento a Smart Africa, no saben cómo sus correos llegaron a la lista. Smart Africa debe proporcionar una explicación verificable de la procedencia de la lista y demostrar el cumplimiento de las obligaciones de protección de datos; las críticas de la comunidad de AFRINIC son razonables y bien fundadas. Ver también: EE. UU. cierra la laguna legal de los chips de IA en el extranjero.