Después de que saliera a la luz la noticia de la masiva cantidad de datos expuestos por una empresa en Ecuador como consecuencia de una base de datos mal configurada, como profesional que trabaja en temas de seguridad informática tenía la esperanza de que el caso pudiera servir de aprendizaje para que las empresas en Latinoamérica comenzaran un proceso de verificación de sus implementaciones para asegurarse de no tener expuesta su información; pero al parecer, esto no pasó.
Esta misma esperanza fue la que me llevó a pensar, después de los incidentes de Wannacry, hace ya más de dos años, que las empresas iban a corregir las vulnerabilidades en SMB actualizando sus sistemas operativos, pero al día de hoy seguimos viendo detecciones del exploit EternalBlue. Entonces, ¿están las empresas pensando en la seguridad de la información desde el diseño de sus proyectos?
Colombia y un reciente caso de exposición de información personal de más de 2 millones de personas
Hace una semanas, fuimos contactados por el equipo de The Hack por lo que parecían ser datos de ciudadanos colombianos expuestos en Internet. Luego de algunas verificaciones, corroboramos que se trataba de una instancia de ElasticSearch configurada de manera insegura que estaba dejando expuesta en Internet información de más de 2.4 millones de usuarios de este país, sin necesidad de autenticación. Parte de esa información estaba compuesta por nombre, dirección de correo, número de teléfono y número de cédula.
Así que, a partir de ese momento, el objetivo fue contactar a diferentes entidades en Colombia para intentar identificar qué empresa estaba teniendo el problema y poder notificarle para evitar que la información continuara expuesta. Esta fue probablemente la tarea que más tiempo nos llevó. Mientras más tiempo transcurría intentando comunicarnos con las personas adecuadas dentro de cada organización para que nos ayudara a solucionar el problema; los datos continuaban estando públicos. Por suerte, el problema se corrigió y la información ya no está expuesta.
Este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones. Una tecnología será tan segura como el tiempo que se le dedique para hacerla segura.
Los casos recientes de instancias de ElasticSearch en empresas de países de Lationamérica deberían servir de alerta para que todas aquellas empresas que utilizan esta tecnología se tomen un tiempo para verificar el estado de seguridad de sus implementaciones. Sobre todo si tenemos en cuenta que el acceso indebido a la información y el robo de la misma son dos de las principales preocupaciones de las empresas en América Latina, según datos de la edición 2019 del ESET Security Report.
Después de este tipo de hallazgos y la trascendencia pública que adquieren, lo lógico debería ser que una disminución de casos como estos. Más allá de lo negativo que puede resultar tener estas tecnologías expuestas, debería tomarse como positivo el conocer cuáles son las posibles vulnerabilidades y corregirlas para que algo así no siga ocurriendo.
Cuando se habla de información personal de los usuarios, las empresas deben garantizar su seguridad por encima de la funcionalidad y la usabilidad de las aplicaciones o servicios. Los recientes casos de implementaciones inadecuadas de tecnologías como ElasticSearch que hemos visto en Ecuador, Brasil, y ahora en Colombia, dejan en evidencia que muchas veces las organizaciones priorizan su negocio sobre la seguridad de la información. Sin embargo, este tipo de incidentes deben servir como lecciones para que las empresas dediquen tiempo y asignen los recursos necesarios para revisar sus tecnologías y hacer de la seguridad un proceso continuo que atraviese todas las operaciones del negocio. De lo contrario, no solo estarán expuestas a que les ocurra algo similar, sino a las consecuencias que conlleva ser responsable de un incidente de esta naturaleza.
Más allá de los incumplimientos normativos que implica este tipo de incidentes, las empresas deben considerar que sus clientes y usuarios pueden quedar expuestos a una amplia variedad de ataques de ingeniería social dirigidos en el caso que esta información caiga en manos inadecuadas.
Este caso esperemos sirva como recordatorio de lo importante que es que las empresas evalúen sus sistemas de información y cómo están configurados. La implementación de una tecnología que aporte las herramientas para desarrollar las actividades operativas, como en este caso es ElasticSearch, no debe perder de vista la necesidad de revisar que cuente con las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja. Todos estos incidentes nos recuerdan la importancia de pensar en seguridad desde el inicio de cualquier proyecto.