Un servidor Elasticsearch mal configurado expuso hasta el pasado 11 de septiembre información privada de casi toda la población de Ecuador. Los investigadores responsables del hallazgo, Noam Rotem y Ran Locar de la empresa vpnMentors, explicaron que se trata de un servidor, ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.
Qué información estaba expuesta
Según explicaron los investigadores, el servidor contenía registros de aproximadamente 20.8 millones de individuos –algunos que ya fallecieron- equivalente a 18GB de datos, con información sensible proveniente de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social IESSS (BIESS) y la Asociación de Empresas Automotrices del Ecuador (AEADE).
En este sentido, parte de la información expuesta incluye nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos.
Entre la información financiera relacionada a cuentas existentes en el BIESS que se filtró figuraban: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS. Además, la información filtrada incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, además del documento para cada uno de los miembros.
Por si fuera poco, datos laborales y corporativos fueron expuestos, como nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.
Según explican los investigadores responsables del hallazgo, uno de los aspectos más preocupantes de esta exposición de datos es que si alguien hubiera conocido estas fallas era factible conocer para cada entrada en la base de datos, información sobre las relaciones de parentesco de cada individuo.
Quizás te interese: La mala gestión de los datos por parte de las empresas y sus consecuencias
Cómo se descubrió la exposición y qué deben hacer los usuarios
Como parte de un proyecto de mapeo web que llevan adelante, los investigadores detrás de este hallazgo explicaron que realizan escaneo de puertos con el objetivo de encontrar bloques de IP conocidos para luego buscar la presencia de vulnerabilidades en los sistemas que puedan provocar la exposición de datos.
“Este caso es un recordatorio de la importante que es para las empresas evaluar sus sistemas de información y cómo están configurados. La implementación de una tecnología que aporte las herramientas para desarrollar las actividades operativas, como en este caso lo era ElasticSearch, no debe perder de vista la necesidad de revisar que cuente con las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja. Todos estos incidentes nos recuerdan la importancia de pensar en seguridad desde el inicio de cualquier proyecto”, opinó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.
Si bien no existe evidencia de que algún actor malintencionado haya accedido a la información expuesta, como dijimos anteriormente, el hallazgo demuestra lo importante que es que empresas y entidades gestionen correctamente la información de las personas, por lo que se trata de una gran oportunidad para reflexionar y tomar medidas antes de lamentarse. Sobre todo teniendo en cuenta que de acuerdo a datos recientes publicados en la última edición del ESET Security Report, informe que analiza el estado de la seguridad de las empresas de América Latina, 2 de cada 5 empresas de la región no cuenta con políticas de seguridad. Asimismo, pese a que el 61% de las empresas encuestadas en América Latina manifestó que el acceso indebido a sus sistemas es su principal preocupación, el 19% sufrió el último año incidentes de seguridad relacionados al acceso indebido a aplicaciones y/o bases de datos.
En cuanto a los usuarios, pese a no tener certezas en cuanto al uso y acceso a esta base de datos, es importante que estén atentos a posibles intentos de estafas y campañas de ingeniería social que puedan aparecer, ya que como hemos en reiteradas ocasiones, como la campañas de sextorsión donde los usuarios reciben un correo con su contraseña en el asunto u otras campañas maliciosas que comienzan con un correo de phishing de apariencia legítima, los cibercriminales utilizan información proveniente de filtraciones como esta para confeccionar todo tipo de estafas .