Daniel Vera
Posted on September 20, 2019
En días recientes se dio a conocer la noticia que los datos personales de la mayoría de los ecuatorianos, incluyendo la información de casi 7 millones de niños fue completamente filtrada a Internet. Aproximadamente son datos de 20 millones de personas (18 GB de datos).
Lo se... Ecuador tiene 16 millones de habitantes. ¿De dónde salió el restante?
Pues la base de datos es tan completa que también incluye visitantes a Ecuador que hayan tenido residencia e inclusive gente muerta.
Actualmente la base de datos no se encuentra en linea, ya fue dada de baja por el ECUCERT (Centro de respuesta de incidentes informáticos del Ecuador) parte de la Agencia de Protección y Control de las Telecomunicaciones.
Ellos le dieron de baja a la base de datos que estaba alojada en Florida, Miami que pertenecía a una empresa ecuatoriana. Fueron a la empresa en sus oficinas en Ecuador y tomaron todos sus servidores y datos que tuvieron.
De hecho, fueron a la casa del CEO de la empresa la asaltaron y arrestaron al representante legal de la empresa que en este momento está bajo investigación porque filtro los datos de todo un país.
María Paula Romo@mariapaularomoEsta tarde / noche la @PoliciaEcuador realizó el allanamiento del local señalado como domicilio de #Novaestrat que es además el domicilio de uno de sus directivos.
Allanamiento se hizo con orden de juez en el marco de la investigación que conduce @FiscaliaEcuador01:20 AM - 17 Sep 2019
¿Qué datos fueron filtrados?
Según el portal de vpnMentor quienes dieron a conocer el hallazgo, la información personal filtrada fue:
- Nombre completo (nombre, segundo nombre, apellido)
- Género
- Fecha de nacimiento
- Lugar de nacimiento
- Dirección de domicilio
- Correo electrónico
- Números de teléfono de casa, trabajo y celular
- Estado civil
- Fecha del matrimonio (si corresponde)
- Fecha del fallecimiento (si procede)
- Grado de educación
Pero eso no fue lo peor. Si tienes una cuenta en el banco de IESS también está el estatus de tu cuenta, cuanta plata tienes en el banco, cuanto has pedido prestado y que tipo de préstamos tienes.
La base de datos también tiene relaciones de quienes son tus familiares (padres, hermanos, primos) al punto que con estos datos es posible reconstruir el árbol genealógico y familiar de la población entera de ecuador.
Cuando se entraba a la base de datos se podía apreciar que era básicamente un sistema de búsqueda abierto formateado en CSV y en Json que tenia varios índices (Bases de datos). Bases de datos familiares, de varias empresas y sus movimientos.
Y se entraba a los tipos de datos, se encontraban formatos estilo Json como por ejemplo el siguiente:
También incluso se pueden ver datos de niños (cerca de 7 millones). Tienen datos tan actualizados como más o menos a marzo abril del 2019. incluyendo bebés recién nacidos.
¿Cuál fue el origen?
Esta es una de las filtraciones de datos más impresionantes de la historia y fue debido a una mala configuración de un sistema llamado Elasticsearch.
Elasticsearch es un software de código abierto que te permite crear motores de búsqueda muy profundos y muy interesantes para cualquier cosa.
Cuando es usado por una persona competente se pueden realizar cosas increíble y es una excelente herramienta. Pero cuando una persona incompetente lo usa, pasan estas cosas.
La pregunta es: ¿Porqué una empresa privada tenía acceso a toda esta información? Porque estos son datos oficiales del Gobierno de Ecuador.
Se puede culpar a Novaestrat que es el nombre de la empresa implicada en este escándalo. Esta empresa por supuesto ya está desaparecida de internet.
Esta empresa aparentemente ofrecía sistemas de información, análisis de tecnología, people search, segmentación de mercado, marketing digital. Obviamente podían hacer un marketing digital espectacular... si tenían la base de datos de todo Ecuador. Lo sabían todo!
Sabían cuánto dinero tenías en el banco si tenían el balance de tus cuentas bancarias.
Lo que no se discute...
No solamente es importante pensar en la filtración que hubo; sino el hecho de que una sola empresa privada tenía estos datos y de que nos enteramos por una configuraron mal elasticsearch y porque fueron estúpidos.
No es solamente culpa de Novaestrat, también es culpa del gobierno y de quien permitió el acceso sin límite a este nivel tan exagerado de datos que ellos tenían.
No tenemos que irnos tan lejos, la página del SRI y vas a la opción de catastros se puede descargar la base entera de cualquier provincia de ecuador incluyendo datos privados sin necesidad de hackear a nadie.
Aquí se puede acceder a una base de datos donde simplemente se puede buscar por nombres de la persona y se puede saber que empresa tiene, cual es el estado, en donde esta, cuando arranco, cuando termino, dirección.
Imagina que una persona te quiere hacer daño y quiere buscar tu dirección... Pues ahí tiene donde obtenerla.
Hay muchas opiniones acerca de que esta filtración está vinculado al caso de Julian Assange. Pero esto es un caso meramente incidental, cuyo origen no fue la malicia de hackers sino la estupidez de gente incompetente en distintos niveles. Incompetencia desde el gobierno hasta el sector privado.
Obviamente el gobierno le echara la culpa a la empresa y van a haber cargos legales, gente en la cárcel y todo el protocolo.
¿Que podrían hacer con esa información?
Extorsiones.
Los pueden llamar y amenazar fingiendo que tiene secuestrado a algún familiar (o hacerlo de verdad). Esto es algo común en latinoamérica. Inclusive a diario se ven videos de personas que han grabado llamadas con este tipo de extorsión.
Podrías decir, a mi no me va a pasar. Pero podría pasarle a alguien cercano a ti, tus padres, tíos, abuelos que no tienen tanto conocimiento de tecnología, porque tienen estos datos.
Robo de identidad
Las personas pueden fingir ser alguien si ya cuentan con estos datos, podrían vulnerarse las preguntas de seguridad de tu cuenta bancaria, por poner un ejemplo.
Phishing
Con los correos electrónicos y la información bancarias se podrían enviar correos con plantillas de correos falsos engañando a personas para dar sus claves de acceso a cuentas bancarias.
Contraseñas
Por lo general no somos muy conscientes con las claves que manejamos en instituciones financieras y con la información de fechas de nacimientos o nombres de hijos se podría inferir dichas claves de acceso.
¿Qué podemos hacer?
Está claro que en cuestión de datos nada es seguro y ni siquiera el gobierno está en la capacidad de proteger tus datos. Y a estas alturas es muy tarde para enmendar tremenda negligencia.
Pero si hay algo que podemos hacer. Podemos exigir de manera mas directa que se haga algo al respecto.
Busca cuál es el asambleísta que representa el lugar en el que vives (por el que técnicamente votaste). El único trabajo que tienen ellos es representarte a nivel legal y la única solución es que haya un cambio legal al rededor de esto.
Ellos no harán nada mientras sigan pensando que este problema es invisible y sin importancia y seguirán peleando entre ellos por tonterías.
Busca quien es y contacta tu asambleísta local. Llama a su oficina si es posible.. No importa que la llamada la recibe una secretaria. Llama y dile:
Me preocupa lo que está pasando con esta empresa y con esta filtración y quiero saber que se va a hacer algo al respecto.
Te tomará menos de 5 minutos, no vas a perder mucho tiempo y puedes lograr colocar en la agenda legal de tu país este problema.
¿Crees que se soluciona de otra manera? No lo creo. Como latinos, no creemos en la política, pero podemos hacer este intento, porque ellos no tienen otra opción.
Ellos saben que en las elecciones un voto sí hace la diferencia. Y si alguien se tomo el tiempo de llamar ( lo que usualmente no hacemos porque creemos que todo se soluciona a punta de comentarios en las redes sociales) es porque realmente hay un problema.
Inténtalo y verás que si se puede lograr un cambio.
Nota: La mayor parte del mensaje de este post proviene del este video. Lo replico porque me parece útil y quiero propagar el mensaje.
Posted on September 20, 2019
Join Our Newsletter. No Spam, Only the good stuff.
Sign up to receive the latest update from our blog.