La información de millones de ecuatorianos fue expuesta en línea
Los datos personales de 20 millones de ecuatorianos, entre registros de ecuatorianos fallecidos y duplicados, fueron filtrados, informó la compañía de privacidad en internet vpnMentor. Los 18 gigabytes de datos filtrados de un servidor de Elasticsearch incluyen información personal, bancaria y hasta tributaria.
Los datos filtrados habrían estado alojados en un servidor no seguro ubicado en Miami, Florida. La base de datos vulnerada sería propiedad de la empresa ecuatoriana Novaestrat. La página de web de la empresa no está al aire. Al introducir su dirección aparece este mensaje.
El equipo de investigadores de vpnMentor –una empresa que se encarga del manejo de redes privadas virtuales (VPNs) y privacidad web– descubrió la filtración como parte de su proyecto de mapeo a gran escala. El equipo buscó vulnerabilidades en sistemas de bases de datos abiertas. Esta compañía suele notificar las filtraciones de información que encuentra a los dueños para que fortalezcan su sistema y se comprueba si la información es real. vpnMentorcompartió la información con el sitio web de noticias de tecnología ZDNet, juntos trabajaron para asegurarse de que la información era real y llamaron a algunos usuarios para comprobar que la información filtrada era verdadera.
El servidor Elasticsearch dejó de filtrar informació la semana pasada, después de que vpnMentor contactó al Equipo de Respuesta a Emergencias Informáticas de Ecuador (EcuCERT). La Cámara de Inovación y Tecnología (CITEC) publicó un comunicado que dice que Novaestrat no forma parte de su gremio. Además pide que el gobierno “tome medidas contundentes” para diseñar leyes y regulaciones para proteger los datos personales de los ecuatorianos.
¿Qué tipo de información fue filtrada?
Se filtraron nombres, fechas de nacimiento, niveles de educación, estado civil, direcciones físicas y de correo electrónico y números telefónicos. Incluso se expuso información sobre familiares.
Esto quiere decir que, es posible encontrar el nombre completo y número de cédula de la madre, padre y esposo de la persona registrada. También se puede encontrar información laboral de las personas como datos como nombre del empleador, lugar del trabajo y salario.
Además se difundió información financiera de las cuentas del Banco del Instituto Ecuatoriano de Seguridad Social (BIESS) como estados de cuenta, balances, tipos de crédito e información de la agencia del BIESS a la que pertenece la persona registrada. Otra de las fuentes de información sería la Asociación de Empresas Automotrices del Ecuador (AEADE). Según un comunicado de la AEADE, no posee bases de datos, pero dijo que investigará si alguna base de datos compartida podría haber sido comprometida. Se filtró información como placa, modelo de auto, fecha de registro y detalles técnicos de los modelos.
¿Qué es Novaestrat?
Novaestrat es una empresa encargada de desarrollar e implementar sistemas de inteligencia para el mercado ecuatoriano, según la información de su página web. Los sistemas facilitan la obtención de datos para conocer al consumidor y facilitar la toma de decisiones.
Actualmente no se puede encontrar su página web, pero en se puede ver una versión de este sitio hasta el 9 de septiembre de 2019 en archive.today. Según esta versión, uno de sus servicios es (o era) NovaFinanzas, que ofrece tomar “las decisiones financieras con información actualizada de todo el Sistema Financiero Ecuatoriano”. Aún no hay un pronunciamiento de la empresa.
¿Cuáles son las consecuencias de haber filtrado los datos?
Las consecuencias podrían ser gravísimas. Van desde duplicar cédulas de identidad hasta placas de autos. En el mejor de los casos, con la información filtrada se puede saber si una persona tiene créditos en el BIESS, cuál es su sueldo, dónde vive y con esa información se puede determinar su capacidad de compra y hacer un perfil para vender a terceros. Pero en el peor, la información puede ser utilizada para actividades delictivas.
Según Iván Muela Flor, arquitecto de software de una multinacional tecnológica, no se sabe cuánto tiempo ha estado disponible la información y quién ha tenido acceso a ella. “Cualquier persona que haya visto esa información, pudo descargar la base de datos y tiene la información de 20 millones de individuos”, dice Muela.
Para Alfredo Velazco, director de la organización gubernamental Usuarios Digitales, las autoridades tienen que investigar por qué y de qué manera se filtró la información. Velazco no descarta la responsabilidad de los funcionarios públicos que, por acción u omisión, tendrían responsabilidad en este grave quiebra de seguridad.
Además, Velazco dice que debería revisar todo lo que concierne a ciberseguridad en el país. “Ecuador es uno de los pocos países que no ha suscrito el convenio de Budapest, que permitiría como país hacer un seguimiento de ciberdelincuentes internacionales”
Novaestrat debe hacerse responsable por “liberar negligentemente esta información sin poner las protecciones adecuadas”, dice Muela. Además, Muela dice que que no se conocen la razones de por las que una compañía privada tenía información del BIESS. Los datos del Registro Civil no le sorprenden porque estos se venden a empresas privadas, pero el BIESS no ofrece este servicio. Pero Velazco dice que “los datos no deberían ser comercializados” aunque el Registro Civil tenga un sistema de comercialización de datos por 30 centavos el acceso a los datos personales. Incluso, dice, el intercambio de bases de datos está penalizado.
¿Qué ha dicho el gobierno sobre la filtración de los datos de millones de ecuatorianos?
En una rueda de prensa el 16 de septiembre de 2019, el ministro de Telecomunicaciones, Andrés Michela, se pronunció sobre la filtración. Michelena dijo que “una empresa ecuatoriana habría sustraído información de dos o tres instituciones públicas”.
La irrupción en las bases de datos fue atribuida por Michelena a “la práctica del gobierno anterior de crear un sistema nacional de información con las bases de datos de todos los ecuatorianos, IESS, SRI, Banco de Fomento, Ban Ecuador y ciertas instituciones se utilizaban dentro de ciertos sistemas de información política, electoral y de marketing político en el gobierno anterior”. Michelena dijo que por la comercialización de las bases de datos se ha iniciado con investigación penal. En la rueda de prensa, también dijo que en “no más de 72 horas se emitirá la Ley de Datos Personales”, una ley que, según el Ministro, trabajan desde hace ocho meses. Para Michelena, la información de los ecuatorianos está protegida y resguardada. “No hay información bancaria en riesgo”, dijo.
Pasadas las ocho de la noche del 16 de septiembre, la Ministra del Interior, María Paula Romo, informó en su cuenta de Twitter que un individuo identificado como William Roberto G, gerente general de Novaestrat, fue detenido en Esmeraldas. El hombre será trasladado a la Fiscalía para las investigaciones respectivas.
No hay comentarios:
Publicar un comentario