Tecnología

2.4 millones de datos de colombianos fueron expuestos en la red

2.4 millones de datos de colombianos fueron expuestos en la red

La aplicación de envíos a domicilio Mensajeros Urbanos tuvo un fallo de configuración de seguridad que resultó en la filtración de 2.4 millones de datos de colombianos en la red, según reportes. 

Firmas de ciberseguridad confirmaron que dicha cantidad de información estaba alojada en una instancia de ElasticSearch, que había sido configurada de manera insegura y que se comunicaron con las organizaciones en Colombia para reparar el hecho. 

El portal especializado The Hack reveló la existencia de dos entornos vulnerables que expusieron información de millones de ciudadanos y empresas clientes, en lo que catalogan como "el mayor incidente de seguridad cibernética en la historia del país".

The Hack asegura que las instancias pertenecen a la empresa Mensajeros Urbanos, app de origen bogotano que se especializa en la entrega de paquetes y documentos a domicilio. 

En la investigación, en colaboración con OnlineProtek (primera organización en revelar la vulnerabilidad) y Eset, se confirmó que los millones de datos estaban disponibles sin necesidad de autenticación.

Parte de los datos en información expuesta son: Nombres, números de cédula, dirección de correo y número de teléfono celular.

Este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones

En algunas capturas de pantalla reveladas por el medio se ven imágenes de documentos colombianos. Según confirmó Eset a , también estaban alojadas imágenes de facturas.

cedulas expuestas

Captura de pantalla de cédulas expuestas obtenidas por The Hack

La aplicación ofrece un servicio personal, de entregas particulares, pero también un segmento corporativo y comercial, que permite el envío de "documentos confidenciales" e integraciones con plataformas de comercio electrónico o restaurantes para facilidades de pedidos por internet. 

En una publicación de blog, Eset manifestó que "este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones. Una tecnología será tan segura como el tiempo que se le dedique para hacerla segura".

Camilo Gutiérrez, Jefe del laboratorio de Investigación de ESET Latinoamérica, dijo a que "no se trata de una filtración, falla del servidor o vulnerabilidad sino de una mala configuración en el servicio. No es culpa de ElasticSearch sino que la forma de configuración dejo la información expuesta". 

Lo que viene es que empresas de ciberseguridad y quienes crean estar afectados empiecen desarrollar proyectos de búsqueda (...) Si la fuga se dio, esos datos van a quedar expuestos en la darknet

Ante la pregunta sobre cómo un ciudadano podría conocer si fue víctima o no, Gutiérrez indica que la empresa debe reconocer que tuvo un error de configuración e informe directamente a los afectados.

Aunque la compañía de ciberseguridad dice que el problema se corrigió y la información ya no está expuesta, resulta imposible saber si dicha información alcanzó a llegar al mercado negro. Se estima que los datos de identidad de un usuario pueden ser vendidos por un valor cercano a los 10 dólares. 

Según el Coronel Fredy Bautista, de la organización Safe, lo que evidencia el reporte del portal brasilero son las capturas de "imágenes de cédulas de ciudadanía y datos biográficos de algunas de las personas usuarias de esta aplicación".

Aunque la base de datos al parecer ya no está disponible, "ahora lo que viene es que empresas de ciberseguridad y quienes crean estar afectados empiecen desarrollar proyectos de búsqueda en mercados ilegales. Si la fuga se dio, esos datos van a quedar expuestos en la darknet".REDACCIÓN TECNÓSFERA
@TecnosferaET