Las autoridades de Ecuador arrestaron al director de TI de la empresa de consultoría Novaestrat el día 17 de septiembre, resposabilizándolo por la filtración de datos personales de 20 millones de ecuatorianos.
El número sorprende principalmente por ser mayor que la población del país, que es de 16 millones de habitantes. Ante la gravedad de la situación, el gobierno ecuatoriano inmediatamente envió al Congreso un proyecto de ley de protección de datos personales.
Además de que los datos pueden utilizarse de tres formas diferentes (ver abajo), este caso es una alerta importante sobre la pertinencia de los datos sensibles y privados del gobierno y de las corporaciones.
Los datos de los ciudadanos ecuatorianos que fueron filtrados contienen el nombre completo, dirección, email, números de identificación y de hacienda, registros laborales y otros. También incluyen informaciones bancarias y financieras, como números de cuenta, saldos y créditos. ¡Hasta el nivel de educación!
Son aproximadamente 18 GB de datos. Sin embargo, a pesar de estar alojada en los servidores de la empresa Novaestrar, la base no parece ser de ella. Según vpnMentor, que descubrió y notificó la filtración en su blog, los registros pueden incluir datos del gobierno ecuatoriano, del banco nacional ecuatoriano (BIESS, Banco del Instituto Ecuatoriano de Seguridad Social) y también de la asociación automotriz AEADE.
Los otros 4 millones de registros que exceden el tamaño de la población ecuatoriana serían de personas que ya murieron o que vivieron en el país anteriormente. Julian Assange, que también fue expuesto en esta filtración, está comprendido en este último grupo.
El fundador de WikiLeaks fue señalado en el anuncio y, de hecho, Asange fue asilado político en 2012 en Ecuador. Se divulgó el ingreso de sus datos (con tarjetas):
vpnMentor también localizó datos sensibles relacionados con pagos de impuestos de empresas ecuatorianas. Los Ecuadorian Taxpayer Identification Numbers (RUC, Registro único de contribuyentes) fueron encontrados entre direcciones de empresas, nombres de representantes legales e informaciones de contacto.
Existen 3 formas para utilizar los datos filtrados con el fin de obtener beneficios financieros y/o hurtos de otras informaciones más sensibles. Esos peligros también fueron señalados por el anuncio de vpnMentor:
A partir de esos datos, la ciberdelincuencia puede crear ataques más dirigidos —en general vía email, como en el caso del spear phishing—, que logren la confianza de la víctima al “seducirla” y al brindarle credibilidad al señalar datos como dirección o nombre de los padres.
La ciberdelincuencia puede utilizar los datos de identidad de las personas para crear cuentas con testaferros y realizar lavado de dinero. Estas cuentas son, incluso, muy vendidas en la deep y dark web.
Las informaciones filtradas de las empresas pueden llevar a accesos a sistemas y obtención delictiva de datos internos sensibles. Una práctica muy común de este tipo es el uso de los datos de ejecutivos.
Los problemas de filtración de Novaestrat se pueden separar en tres. Son característicos de una falta de compromiso y respeto por los datos de los usuarios:
vpnMentor refirió también que la exposición de datos no puede deshacerse. Aunque se haga la reparación, las informaciones ya pueden estar en las manos incorrectas. Por eso es necesaria la remediación de futuras exposiciones.
Datos de IBM señalan que las empresas en el mundo demoran, en promedio, 1977 días (¡6 meses y 17 días!) para contener una situación de filtración de datos. Luego de eso, aún es necesaria la limpieza de todos los canales en que las informaciones sensibles pueden haber estado alojadas.
En términos generales, esto no es más que un problema ético: toda empresa debe responsabilizarse por limpiar su “basura”. Si se toma en consideración la inmensidad de la internet, pensar en realizar esta tarea puede ser frustrante. Sin embargo, las herramientas correctas y el avance tecnológico muestran que es posible encontrar un atajo para ayudar en esta situación.
Axur One está ahí para eso: con la eficiencia de miles de BOTs y el uso intensivo del machine learning, es posible realizar el monitoreo y reaccionar con pocos clics ante riesgos como la filtración de datos. Conozca nuestro producto y entienda mejor esta solución y cómo lo puede ayudar.