La información personal de más de 20 millones de ecuatorianos quedó expuesta por una base de datos mal configurada.
ESET, compañía líder en detección proactiva de amenazas, analiza el caso en el que un servidor Elasticsearch mal configurado expuso hasta el pasado 11 de septiembre información privada de millones de personas en Ecuador. Se trata de un servidor, ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.
El servidor contenía registros de aproximadamente 20.8 millones de individuos equivalente a 18GB de datos, con información personal proveniente de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social IESSS (BIESS) y la Asociación de Empresas Automotrices del Ecuador (AEADE).
Parte de la información expuesta incluye nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos, mencionaron los investigadores responsables del hallazgo, Noam Rotem y Ran Locar de vpnMentors
Entre la información financiera relacionada a cuentas existentes en el BIESS que se filtró, figuraban: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS. Además, la información filtrada incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, inclusive el número de documento de cada uno.
También fueron expuestos los datos laborales y corporativos, como el nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.
“Este caso es un recordatorio de lo importante que es para las empresas evaluar sus sistemas de información y cómo están configurados. La implementación de una tecnología que aporte las herramientas para desarrollar actividades operativas, como en este caso lo era ElasticSearch, no debe perder de vista la necesidad de revisar que se cuenten con las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja. Todos estos incidentes nos recuerdan la importancia de pensar en seguridad desde el inicio de cualquier proyecto así como el realizar auditorías periódicas del estado de la seguridad de la información en las organizaciones”, opinó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.
No hay evidencia de que algún actor malintencionado haya accedido a la información expuesta, aun así el hallazgo demuestra la importancia de que las empresas y entidades gestionen correctamente la información de las personas. Teniendo en cuenta los datos publicados en la última edición del ESET Security Report, informe que analiza el estado de la seguridad de las empresas de América Latina, 2 de cada 5 empresas de la región no cuenta con políticas de seguridad. Asimismo, pese a que el 61% de las empresas encuestadas en América Latina manifestó que el acceso indebido a sus sistemas es su principal preocupación, el 19% sufrió el último año incidentes de seguridad relacionados al acceso indebido a aplicaciones y/o bases de datos.