Digital Fraud, Data Leakage, Threat Intelligence

Filtración de 20 millones de datos personales en Ecuador: alerta para empresas

By André Luiz Rodrigues on octubre 11, 2019
SHARE

Las autoridades de Ecuador arrestaron al director de TI de la empresa de consultoría Novaestrat el día 17 de septiembre, resposabilizándolo por la filtración de datos personales de 20 millones de ecuatorianos. 

El número sorprende principalmente por ser mayor que la población del país, que es de 16 millones de habitantes. Ante la gravedad de la situación, el gobierno ecuatoriano inmediatamente envió al Congreso un proyecto de ley de protección de datos personales.

Además de que los datos pueden utilizarse de tres formas diferentes (ver abajo), este caso es una alerta importante sobre la pertinencia de los datos sensibles y privados del gobierno y de las corporaciones.

 

¿Qué encontramos en los 20 millones de datos filtrados?


Los datos de los ciudadanos ecuatorianos que fueron filtrados contienen el nombre completo, dirección, email, números de identificación y de hacienda, registros laborales y otros. También incluyen informaciones bancarias y financieras, como números de cuenta, saldos y créditos. ¡Hasta el nivel de educación!

Son aproximadamente 18 GB de datos. Sin embargo, a pesar de estar alojada en los servidores de la empresa Novaestrar, la base no parece ser de ella. Según vpnMentor, que descubrió y notificó la filtración en su blog, los registros pueden incluir datos del gobierno ecuatoriano, del banco nacional ecuatoriano (BIESS, Banco del Instituto Ecuatoriano de Seguridad Social) y también de la asociación automotriz AEADE.

Los otros 4 millones de registros que exceden el tamaño de la población ecuatoriana serían de personas que ya murieron o que vivieron en el país anteriormente. Julian Assange, que también fue expuesto en esta filtración, está comprendido en este último grupo. 

El fundador de WikiLeaks fue señalado en el anuncio y, de hecho, Asange fue asilado político en 2012 en Ecuador. Se divulgó el ingreso de sus datos (con tarjetas):

Ecuador leak Julian Assange

 

Datos de empresas filtrados

vpnMentor también localizó datos sensibles relacionados con pagos de impuestos de empresas ecuatorianas. Los Ecuadorian Taxpayer Identification Numbers (RUC, Registro único de contribuyentes) fueron encontrados entre direcciones de empresas, nombres de representantes legales e informaciones de contacto. 

 

Una base de datos, tres tipos diferentes de peligros


Existen 3 formas para utilizar los datos filtrados con el fin de obtener beneficios financieros y/o hurtos de otras informaciones más sensibles. Esos peligros también fueron señalados por el anuncio de vpnMentor:


Phishing y malware

A partir de esos datos, la ciberdelincuencia puede crear ataques más dirigidos —en general vía email, como en el caso del spear phishing—, que logren la confianza de la víctima al “seducirla” y al brindarle credibilidad al señalar datos como dirección o nombre de los padres.


Robo de identidad y fraudes financieros

La ciberdelincuencia puede utilizar los datos de identidad de las personas para crear cuentas con testaferros y realizar lavado de dinero. Estas cuentas son, incluso, muy vendidas en la deep y dark web.


Espionaje de empresas y fraudes

Las informaciones filtradas de las empresas pueden llevar a accesos a sistemas y obtención delictiva de datos internos sensibles. Una práctica muy común de este tipo es el uso de los datos de ejecutivos.

 

Problemas y aprendizajes: la responsabilidad de las empresas


Los problemas de filtración de Novaestrat se pueden separar en tres. Son característicos de una falta de compromiso y respeto por los datos de los usuarios:

  • Recolección indebida de datos a partir de supuestas varias fuentes para la formación de una única base, lo que demuestra también una “connivencia” de otras empresas. 
  • Almacenamiento incorrecto de los datos en un servidor inseguro y no confiable, lo que permite la exposición
  • Falta de acción y notificación a las autoridades y “desaparición” de la escena pública: Novaestrat sacó su sitio del aire y eliminó todos sus perfiles de redes sociales 

 

Nuevos problemas: la protección contra riesgos digitales es un tema serio

vpnMentor refirió también que la exposición de datos no puede deshacerse. Aunque se haga la reparación, las informaciones ya pueden estar en las manos incorrectas. Por eso es necesaria la remediación de futuras exposiciones. 

Datos de IBM señalan que las empresas en el mundo demoran, en promedio, 1977 días (¡6 meses y 17 días!) para contener una situación de filtración de datos. Luego de eso, aún es necesaria la limpieza de todos los canales en que las informaciones sensibles pueden haber estado alojadas.

En términos generales, esto no es más que un problema ético: toda empresa debe responsabilizarse por limpiar su “basura”. Si se toma en consideración la inmensidad de la internet, pensar en realizar esta tarea puede ser frustrante. Sin embargo, las herramientas correctas y el avance tecnológico muestran que es posible encontrar un atajo para ayudar en esta situación. 

Axur One está ahí para eso: con la eficiencia de miles de BOTs y el uso intensivo del machine learning, es posible realizar el monitoreo y reaccionar con pocos clics ante riesgos como la filtración de datos. Conozca nuestro producto y entienda mejor esta solución y cómo lo puede ayudar.
image

Identificamos y eliminamos riesgos digitales. Entiende cómo.

OBTENER UNA DEMO
LP guia
DESCARGUE

Get the latest blog news:
event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTHOR

André Luiz Rodrigues

Periodista y Content Creator de Axur, responsable por el Deep Space y actividades de prensa. Por aquí, también ya he analizado muchos datos y estafas como miembro del equipo de Brand Protection. Resumen: trabajar con tecnología, información y conocimiento en conjunto es uno de mis más grandes amores!

Related posts

Chatbots: The New Accomplices in Digital Crime
diciembre 17, 2019
Flaw in Google Chrome Mobile Creates an (Almost) Perfect Fraud
septiembre 23, 2019
How Can You Protect Your Business from Leaked Credentials?
mayo 29, 2019
Protecting your online presence is a major task. External threats endanger this safety. Axur helps you detect, inspect, and remove risks. Our platform automates threat management and empowers your team to focus on strategic initiatives.
www.axur.com
contact@axur.com
© Axur. Digital experiences made safe. All rights reserved.