El 16 de septiembre se hizo público el hallazgo que hizo la empresa vpnMentor, en el que se determinó que un servidor Elasticsearch mal configurado expuso, hasta el pasado 11 de septiembre, información privada de casi toda la población de Ecuador.
PUBLICIDAD
Los investigadores responsables del hallazgo, explicaron que se trata de un servidor ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.
ESET, compañía especializada en detección de amenazas, analiza lo sucedido y expone qué deben hacer los usuarios:
1. ¿Qué información estuvo expuesta?
Según explicaron los investigadores, el servidor mal configurado contenía registros de aproximadamente 20.8 millones de ciudadanos ecuatorianos; si bien actualmente la población de este país no supera los 17 millones, algunos de los registros corresponden a personas que ya fallecieron.
El volumen de información es equivalente a 18GB de datos, e incluye datos sensibles provenientes de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social (BIESS), la Asociación de Empresas Automotrices del Ecuador (AEADE), entre otros.
En este sentido, parte de la información personal expuesta incluye: nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos.
Además, entre la información financiera relacionada a cuentas existentes en el BIESS figuran datos como: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS, e incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, además del documento para cada uno de los miembros.
PUBLICIDAD
Por si fuera poco, datos laborales y corporativos fueron expuestos, como nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.
Uno de los aspectos más preocupantes de esta brecha de seguridad es que de cada persona incluida en esta base de datos es posible obtener información sobre sus relaciones de parentesco.
2. ¿Qué deben hacer los usuarios?
Los usuarios, pese a no tener certezas respecto al acceso y uso de esta base de datos, es importante que estén prevenidos a posibles intentos de estafas y campañas de ingeniería social que puedan aparecer.
Esto se debe a que los cibercriminales utilizan información proveniente de este tipo de exposiciones y filtraciones para confeccionar estafas, como campañas de extorsión donde los usuarios reciben un correo con su contraseña en el asunto u otras campañas maliciosas que comienzan con un correo de phishing de apariencia legítima.