Informe: Exposición de información de más de 20 millones de ecuatorianos: ¿Cómo sucedió y qué hacer?

Share

La empresa vnpMentor reportó el hallazgo de una base de datos mal configurada que expuso información personal de millones de ecuatorianos. Entre los datos expuestos constan nombres completos, números de teléfono e información financiera.

El día de ayer se hizo público un hallazgo que hizo la empresa vpnMentor, en el que se determinó que un servidor Elasticsearch mal configurado expuso, hasta el pasado 11 de septiembre, información privada de casi toda la población de Ecuador. Los investigadores responsables del hallazgo, Noam Rotem y Ran Locar, explicaron que se trata de un servidor ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.

Desde ESET, compañía líder en detección proactiva de amenazas, queremos brindar nuestro análisis sobre lo sucedido, cómo se descubrió la exposición de información qué deben hacer los usuarios:

  1. ¿Qué información estuvo expuesta?

Según explicaron los investigadores, el servidor mal configurado contenía registros de aproximadamente 20.8 millones de ciudadanos ecuatorianos; si bien actualmente la población de este país no supera los 17 millones, algunos de los registros corresponden a personas que ya fallecieron.

El volumen de información es equivalente a 18GB de datos, e incluye datos sensibles provenientes de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social (BIESS), la Asociación de Empresas Automotrices del Ecuador (AEADE), entre otros.

En este sentido, parte de la información personal expuesta incluye: nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos.

Además, entre la información financiera relacionada a cuentas existentes en el BIESS figuran datos como: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS, e incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, además del documento para cada uno de los miembros.

Por si fuera poco, datos laborales y corporativos fueron expuestos, como nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.

Según explican los investigadores responsables del hallazgo, uno de los aspectos más preocupantes de esta brecha de seguridad es que de cada persona incluida en esta base de datos es posible obtener información sobre sus relaciones de parentesco.

  1. ¿Cómo se descubrió la filtración y qué deben hacer los usuarios?

Los investigadores Noam Rotem y Ran Locar, explicaron que como parte de un proyecto de mapeo web que llevan adelante, se realiza un escaneo de puertos con el objetivo de encontrar la presencia de vulnerabilidades en los sistemas que puedan provocar la exposición de datos.

“Este caso es un recordatorio de lo importante que es para las empresas evaluar sus sistemas de información y cómo están configurados. Quizás la implementación de una tecnología aporte las herramientas para desarrollar las actividades operativas, como en este caso lo era ElasticSearch, pero no se debe perder de vista tener las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja. Todos estos incidentes nos recuerdan la importancia de pensar en seguridad desde el inicio de cualquier proyecto”, opinó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.

Si bien no existe evidencia de que algún ciberdelincuente haya accedido a la información expuesta, el hallazgo demuestra la importancia de que las empresas y entidades gestionen correctamente la información de las personas, convirtiéndose en una gran oportunidad para reflexionar y tomar medidas antes de lamentarse. De acuerdo a datos recientes publicados en la última edición del ESET Security Report, informe que analiza el estado de la seguridad de las empresas de América Latina, 2 de cada 5 empresas de la región no cuenta con políticas de seguridad; asimismo, pese a que el 61% de las empresas encuestadas en América Latina manifestó que el acceso indebido a sus sistemas es su principal preocupación, el 19% de ellas sufrió el último año incidentes de seguridad relacionados al acceso indebido a aplicaciones y/o bases de datos.

En cuanto a los usuarios, pese a no tener certezas respecto al acceso y uso de esta base de datos, es importante que estén prevenidos a posibles intentos de estafas y campañas de ingeniería social que puedan aparecer. Esto se debe a que los cibercriminales utilizan información proveniente de este tipo de exposiciones y filtraciones para confeccionar estafas, como campañas de extorsión donde los usuarios reciben un correo con su contraseña en el asunto u otras campañas maliciosas que comienzan con un correo de phishing de apariencia legítima. Por todo lo mencionado, es importante contar con una herramienta de protección que bloquee estos tipos de ataques y estafas, siempre de la mano de unas adecuadas prácticas de uso de internet.