Informe especial: Smart Africa filtra lista de correos electrónicos obtenida sin consentimiento

Informe especial: Smart Africa filtra lista de correos electrónicos obtenida sin consentimiento es perfilado por BTW Media porque la evidencia publicada lo vincula con infraestructura de internet, gobernanza, dependencias operativas o visibilidad de mercado.

• Nuestras entrevistas encuentran que la abrumadora mayoría de los encuestados niegan haber compartido datos de contacto con Smart Africa o incluso conocer la organización.
• La posesión de una lista masiva de correos por parte de Smart Africa es altamente cuestionable.

Qué sucedió: Un error de correo masivo revela una lista de contactos sensible

Una investigación especial de BTW Media ha revelado que la mayoría de loscorreos electrónicos expuestos por Smart Africaen su torpe correo del mes pasado fueron obtenidos sin el consentimiento de los propietarios.

Smart Africa envió una invitación titulada “Sesión de consulta en línea sobre las elecciones de AFRINIC y el marco CAIGA” con los destinatarios colocados en el campo Para en lugar de Cco,exponiendo un gran conjunto de direcciones de correo electrónico vinculadas a AFRINIC a todos los demás destinatarios. Cobertura independiente informa que el mensaje proviene de un gerente de proyecto de Smart Africa y describe la escala como miles de direcciones, elevando el incidente de un simple lapsus de etiqueta a un evento significativo de exposición de datos.

Qué muestran nuestras entrevistas: La mayoría de los destinatarios rechazan cualquier noción de consentimiento

BTW Media contactó a muchos de los miembros de recursos de AFRINIC y operadores de red cuyos correos electrónicos fueron expuestos. La gran mayoría nos dijo que nunca compartió direcciones de correo electrónico con Smart Africa y, en muchos casos, “no tenía idea de quiénes son”. Las respuestas típicas incluyen: “Absolutamente no”; “No, no lo hicimos”; “Nunca he compartido mi información de contacto y no di mi consentimiento”; y “No, no compartí mi correo electrónico y no los conozco”. Varios entrevistados solicitan explícitamente que no se realice ningún contacto adicional.

Una minoría reconoce que sus direcciones podrían ser localizables en otros lugares—por ejemplo, cuando un ingeniero acepta ser listado como contacto técnico en un ASN o recurso IP—pero enfatizan que las entradas técnicas de WHOIS no constituyen un consentimiento general para un contacto masivo no relacionado con la respuesta a incidentes.

Lea también:Smart Africa filtra miles de direcciones de correo electrónico de miembros de AFRINIC

Por qué la explicación de Smart Africa se queda corta: Datos públicos vs no públicos

Existen dos fuentes de datos de contacto relacionados con AFRINIC en el registro público, y ninguna justifica limpiamente la posesión por parte de Smart Africa de una lista masiva consolidada de correos:

• Las páginas de miembros de AFRINIC listan organizaciones y direcciones físicas por transparencia, pero no presentan un compendio descargable o navegable de correos electrónicos de miembros.
• El WHOIS de AFRINIC es un registro público oficial destinado a operaciones de Internet (abuso, enrutamiento, coordinación de incidentes) y es explícitamente accesible para cualquiera; no es una base de datos de marketing. AFRINIC además señala que los datos masivos de WHOIS están destinados a fines operacionales o de investigación.

Por el contrario, el mensaje de Smart Africa con destinatarios visibles parece dirigirse a una amplia circunscripción de miembros, no a contactos específicos de recursos sobre un incidente operativo. Esa discordancia entre el propósito y el uso está en el centro de las críticas expresadas por los entrevistados.

Lea también:Por qué la disputa de AFRINIC es más que direcciones IP – se trata de libertad

Perfil de riesgo: Disparadores de seguridad y obligaciones legales

Las direcciones adyacentes a los registros expuestas son atractivas para los phishers que pueden hacerse pasar por AFRINIC o proveedores para recolectar credenciales, iniciar cambios fraudulentos de recursos o solicitar pagos. La exposición legal no es trivial: la Ley de Protección de Datos de 2017 de Mauricio exige notificar al Comisionado dentro de las 72 horas cuando un controlador tiene conocimiento de una violación de datos personales, con posibles obligaciones de notificar a las personas afectadas si el riesgo es alto.

Si la lista se origina dentro de AFRINIC o de un contratista de AFRINIC, surgen preguntas sobre los roles de controlador/procesador y la base legal para la divulgación; si Smart Africa compiló la lista de fuentes dispares, aún debe demostrar una base legal válida para el procesamiento.

El creciente papel de Smart Africa – y por qué se aplican estándares más altos

Smart Africa se posiciona como una plataforma de convocatoria para la transformación digital de África y recientemente ha publicitado una respuesta continental coordinada a la crisis de gobernanza de AFRINIC. Esa reivindicación de administración agudiza las expectativas en torno a la gobernanza de datos: un organismo que busca influencia sobre los resultados de la gobernanza de Internet debe cumplir con una higiene básica de privacidad y seguridad, incluyendo control de acceso estricto a listas, registros de consentimiento y Cco predeterminado para cualquier envío externo.

Lea también:El ‘Comité de Reformas’ secreto de AFRINIC genera nuevas preocupaciones sobre la gobernanza de Internet en África

Lo que Smart Africa debe responder ahora

• Procedencia: ¿Cómo obtiene Smart Africa una lista de correo similar a la de miembros que no es pública en el sitio de AFRINIC? Si se recibió de alguna fuente de AFRINIC, ¿cuál es la base legal y qué acuerdos rigen la transferencia? Si se compiló externamente, ¿cuál es la base de procesamiento y la limitación de propósito?
• Respuesta a la violación: ¿Quién es el controlador de este conjunto de datos y se han activado las notificaciones requeridas en 72 horas? ¿Se está advirtiendo a las personas afectadas sobre el phishing (con orientación sobre DMARC/DKIM/SPF) y se les proporciona un punto de contacto para la solución?

Contexto para los lectores: Lo que WHOIS hace—y no hace—

Para entender el matiz planteado por nuestras fuentes, ayuda recordar que IANA asigna rangos de números AS a los registros regionales, y cada RIR publica WHOIS para que los ingenieros puedan contactar a las personas adecuadas rápidamente. En la región de AFRINIC, esa transparencia es fundamental para la estabilidad del enrutamiento, pero no es carta blanca para una amplia movilización política o de políticas sin consentimiento.

Conclusión de las entrevistas

El mensaje abrumador de aquellos que contactamos es simple: no dan su consentimiento a Smart Africa, no saben cómo sus correos electrónicos llegaron a la lista. Smart Africa necesita proporcionar una explicación verificable de la procedencia de la lista y demostrar el cumplimiento de las obligaciones de protección de datos, las críticas de la comunidad de AFRINIC son razonables y bien fundadas.