Hace poco más de un año, en 2018, los medios dieron a conocer del sonado caso de Cambridge Analytica y Facebook. Fue un caso de altísima repercusión mediática (y con razón) en el que se violó la privacidad de los datos de millones de usuarios de esta red social.
Ecuador y Chile han sufrido recientemente gravísimas vulneraciones de datos privados de prácticamente el total de la población y los medios no le han dado ni un cuarto del eco de la gravedad que supone esta situación. ¿Son menos importantes los datos privados de estos países? No lo creo… Estamos ante casos de problemas de seguridad nacional.
El caso Ecuador
Los datos de la gran mayoría de los ciudadanos ecuatorianos ha sido filtrada a la red: en total han filtrado datos de 20 millones de personas, entre los cuales se incluyen menores de edad, difuntos y personas que han tenido algún contacto con el país. En total, 18GB de datos. A pesar de que esta base de datos ya no está accesible, la cual fue dada de baja por ECUCERT (Centro de respuesta a Incidentes Informáticos de Ecuador), los problemas que supone este incidente no han hecho más que comenzar.
Qué tipo de datos se han filtrado
Según la revista Forbes, quien ha publicado los tipos de datos que se han filtrado, podemos encontrar información como:
- Nombre completo
- Género
- Fecha de nacimiento
- Lugar de nacimiento
- Lugar de residencia
- Números de teléfono
- Estado civil
- Fecha de contracción de matrimonio (si se ha producido)
- Fecha de fallecimiento (si se ha producido)
- Nivel de educación
- Empresa contratante
- Ubicación de la empresa
- Número de la seguridad social
- Puesto de trabajo
- Información salarial: estado de la cuenta bancaria, créditos solicitados y su tipo y balance actual de la cuenta
- Comienzo y finalización de la fecha de trabajo
Y no solo eso, sino que esta base de datos filtrada también posee las conexiones correspondientes para conocer fácilmente quiénes son todos los familiares. Así se puede «tejer» fácilmente el árbol genealógico de cualquier ciudadano. Estos son los principales datos filtrados, aunque no son los únicos, también incluyen datos sobre bienes y sobre empresas.
«Este archivo es el sueño de cualquier organización criminal o de inteligencia»
Noam Rotem
¿Cómo ha ocurrido esta catástrofe?
El filtrado se produjo por una incorrecta configuración del sistema Elasticsearch, una aplicación que permite crear motores de búsqueda en bases de datos, la cual permitía descargar a todo el que quisiese (supiese) la base de datos completa de un servidor alojado en Miami (EE.UU.). A pesar de que desde el pasado 11 de septiembre los datos del servidor en cuestión ya no están expuestos, el daño ya está hecho y es irreversible.
A partir de aquí podemos hacernos varias preguntas: ¿por qué una empresa privada (Novaestrat) tenía acceso a esta base de datos con tantísima información personal, a los datos completos de los ciudadanos? ¿En quién podemos confiar para evitar los estragos causados por dicha filtración? En el caso de Ecuador, se siguen investigando los hechos y la empresa Novaestrat desapareció de la noche a la mañana.
El caso Chile
Otro caso poco mediatizado, el de Chile, en el que en 2018 se filtraron el 80% de los datos de toda la población ,también debido a una configuración incorrecta de Elasticsearch. En este caso también se filtraron multitud de datos personales como el nombre completo, edad, dirección actual de residencia, el número de la seguridad social, datos de tarjetas de crédito, etc.
«Hay empresas que no entienden que tienen que invertir en ciberseguridad»
Felipe Harboe
El caso Chile se destapó debido a la detección de multitud de casos de fraude en el país concentrados en un periodo de tiempo muy corto, lo que hizo saltar las alarmas, obligando a establecer medidas de contención: más de 40.000 usuarios vieron cómo sus tarjetas de crédito habían sido bloqueadas. Actualmente se sigue investigando el proceso en el que está implicado Redbanc, una empresa chilena encargada de administrar la Red Bancaria Interconectada de Chile.
¿Qué implicaciones tienen estos filtrados de datos?
Es habitual que las empresas que tienen acceso a gran cantidad de información sobre los usuarios vendan los datos a empresas de terceros para realizar estudios de mercado, inversiones en publicidad, como es el caso de Google y Faceboook. Sin embargo, estas filtraciones descontroladas originan perjuicios a los usuarios a todos los niveles, empezando por la propia seguridad personal.
Con toda esa información expuesta es el caldo de cultivo perfecto para los ciberdelincuentes internacionales, que podrán encontrar multitud de formas para hackear a los usuarios y tomar el control de cuentas de correo, cuentas de redes sociales, cuentas bancarias… Extorsiones, estafas, phising, robos de identidad, espionaje empresarial, robos de bienes y acciones de fraude financiero son diferentes posibles derivaciones consecuencia de las malas prácticas o falta de especialización en el trabajo.
Debemos plantearnos realmente cuál es la importancia de contar con profesionales realmente cualificados en el campo de la ciberseguridad para impedir que todas estas situaciones no ocurran y aprender de los errores para el futuro. Como sabéis, la falta de profesionales y la falta de especialización existente en este campo en la actualidad es acuciante y puede ocasionar pérdidas de valor incalculable. ¿Seguís pensando que no es necesaria una mayor inversión en ciberseguridad?