Un servidor mal configurado expuso información privada de casi toda la población de Ecuador, algo que incluye nombre, dirección, correo electrónico, cuentas bancarias, saldos, información de salario, familiares, títulos académicos… prácticamente, la vida entera de más de 20 millones de personas.
Los investigadores responsables del hallazgo, Noam Rotem y Ran Locar de la empresa vpnMentors, explicaron que se trata de un servidor ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.
¿Cómo puede haber información de 20 millones de personas si Ecuador solo tiene 17 millones de habitantes? Los datos expuestos comprenden además a personas fallecidas, entre otras.
Datos
El servidor contenía registros de aproximadamente 20,8 millones de individuos, equivalentes a 18 GB de datos, con información sensible proveniente de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social IESSS (BIESS) y la Asociación de Empresas Automotrices del Ecuador (AEADE).
Parte de la información expuesta incluye nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos.
Entre la información financiera relacionada a cuentas existentes en el BIESS que se filtró figuraban: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS.
Además, la información filtrada incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, además del documento para cada uno de los miembros.
Datos laborales y corporativos también quedaron fueron expuestos, como nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.
Entre los perfiles expuestos figura el de Julian Assange, fundador de Wikileaks que permaneciera durante varios años bajo asilo en la embajada de Ecuador en Londres.
Qué hacer
“Este caso es un recordatorio de la importante que es para las empresas evaluar sus sistemas de información y cómo están configurados. La implementación de una tecnología que aporte las herramientas para desarrollar las actividades operativas, como en este caso lo era ElasticSearch, no debe perder de vista la necesidad de revisar que cuente con las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja”, opinó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.
Pese a no tener certezas en cuanto al uso y acceso a esta base de datos, es importante que los usuarios estén atentos a posibles intentos de estafas y campañas de ingeniería social que puedan aparecer.