PRIVACIDAD DE DATOS
Se filtró información personal de 20 millones de personas en Ecuador, ¿qué se sabe?
Miércoles, 18 de septiembre de 2019

La justicia de Ecuador comenzó una investigación penal por violación a la intimidad tras conocerse una masiva filtración de datos personales de millones de ciudadanos. El ministro de Telecomunicaciones responsabilizó a funcionarios de una empresa cuyos representantes, afirma, trabajaron para el gobierno del expresidente Rafael Correa, quien a su vez rechazó las acusaciones.

Ecuador tiene menos de 17 millones de habitantes y, según una firma de seguridad, la mayoría de los datos personales de casi todos ellos han sido expuestos.

La compañía de seguridad informática vpnMentor aseguró en un informe que dos de sus expertos detectaron a inicios de septiembre que un servidor utilizado por una empresa de análisis de datos y que contenía información personal sobre millones de ecuatorianos no contaba con los protocolos de protección necesarios. Y, por lo tanto, casi cualquier persona podía acceder a ellos.

¿Qué información reveló la filtración?

Además de los datos de identidad básicos, los archivos expuestos incluían números oficiales de identificación del gobierno, números de teléfono, registros familiares, fechas de matrimonio, historias educativas y registros de trabajo.

El caché de información también incluía algunos registros financieros que contaban los saldos de las cuentas de los clientes de un gran banco ecuatoriano, según la firma de seguridad informática.

Mientras, los registros de impuestos, incluidos los números de identificación de ingresos oficiales de las empresas, se encontraron en otro archivo.

¿Cuán grave es la filtración?

Según vpnMentor, se trata de una falla informática "particularmente grave", dado el tipo y la cantidad de información que se reveló sobre cada individuo.

"La violación de datos implica una gran cantidad de información sensible de identificación personal a nivel individual", escribieron Noam Rotem y Ran Locar, los expertos que encontraron la falla.

"Esto pone a las personas en riesgo de robo de identidad y fraude financiero. Una parte maliciosa con acceso a los datos filtrados posiblemente podría reunir suficiente información para obtener acceso a cuentas bancarias y más", consideró vpnMentor.

La empresa informática estimó además que el acceso a detalles sobre los carros puede ayudar a los delincuentes a identificar vehículos específicos y la dirección de su propietario.

"Este tipo de violación de datos podría haberse evitado con algunas medidas de seguridad básicas", consideró el portal tecnológico.

ESET, compañía líder en detección proactiva de amenazas, analiza el caso en el que un servidor Elasticsearch mal configurado expuso hasta el pasado 11 de septiembre información privada de millones de personas en Ecuador. Se trata de un servidor, ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.

El servidor contenía registros de aproximadamente 20.8 millones de individuos equivalente a 18GB de datos, con información personal proveniente de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social IESSS (BIESS) y la Asociación de Empresas Automotrices del Ecuador (AEADE).

Parte de la información expuesta incluye nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos, mencionaron los investigadores responsables del hallazgo, Noam Rotem y Ran Locar de vpnMentors

Entre la información financiera relacionada a cuentas existentes en el BIESS que se filtró, figuraban: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS. Además, la información filtrada incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, inclusive el número de documento de cada uno.

También fueron expuestos los datos laborales y corporativos, como el nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.

"Este caso es un recordatorio de lo importante que es para las empresas evaluar sus sistemas de información y cómo están configurados. La implementación de una tecnología que aporte las herramientas para desarrollar actividades operativas, como en este caso lo era ElasticSearch, no debe perder de vista la necesidad de revisar que se cuenten con las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja. Todos estos incidentes nos recuerdan la importancia de pensar en seguridad desde el inicio de cualquier proyecto así como el realizar auditorías periódicas del estado de la seguridad de la información en las organizaciones", opinó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.

No hay evidencia de que algún actor malintencionado haya accedido a la información expuesta, aun así el hallazgo demuestra la importancia de que las empresas y entidades gestionen correctamente la información de las personas. Teniendo en cuenta los datos publicados en la última edición del ESET Security Report, informe que analiza el estado de la seguridad de las empresas de América Latina, 2 de cada 5 empresas de la región no cuenta con políticas de seguridad. Asimismo, pese a que el 61% de las empresas encuestadas en América Latina manifestó que el acceso indebido a sus sistemas es su principal preocupación, el 19% sufrió el último año incidentes de seguridad relacionados al acceso indebido a aplicaciones y/o bases de datos.

Con información de ESET, BBC y CNN. 

Tamaño del texto
Comentarios
Tu comentario