Buenos Aires, 29 de octubre de 2019 - Después de que saliera a la luz la masiva cantidad de datos expuestos por una empresa en Ecuador como consecuencia de una base de datos mal configurada, ESET, compañía líder en detección proactiva de amenazas, advierte sobre un nuevo episodio que dejó expuesta información personal de más de 2 millones de usuarios de Colombia y deja en evidencia la falta de consideración de aspectos de seguridad desde el diseño.
El equipo de The Hack contactó a ESET para analizar lo que parecían ser datos de ciudadanos colombianos expuestos en Internet. Luego de algunas verificaciones, investigadores de ESET corroboraron que se trató de una instancia de ElasticSearch configurada de manera insegura que expuso en Internet información de más de 2.4 millones de usuarios de este país, sin necesidad de autenticación. Parte de esa información estaba compuesta por nombre, dirección de correo, número de teléfono y número de cédula.
“Este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones. Una tecnología será tan segura como el tiempo que se le dedique para hacerla segura.”, comentó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Pie de imagen: Captura de pantalla donde se aprecia la cantidad de usuarios afectados y parte de los datos expuestos.
Luego de identificar el problema, ESET contactó a diferentes entidades en Colombia para intentar identificar qué empresa estaba teniendo el problema y poder notificarle para evitar que la información continuara expuesta. Mientras se realizaba el contacto con las personas adecuadas dentro de cada organización, los datos continuaban estando públicos. Por suerte, el problema se corrigió y la información ya no está expuesta.
“Los casos recientes de instancias de ElasticSearch en empresas de países de Lationamérica deberían servir de alerta para que todas aquellas empresas que utilizan esta tecnología se tomen un tiempo para verificar el estado de seguridad de sus implementaciones. Sobre todo si tenemos en cuenta que el acceso indebido a la información y el robo de la misma son dos de las principales preocupaciones de las empresas en América Latina, según datos de la edición 2019 del ESET Security Report.”, agregó Gutierrez.
Cuando se habla de información personal de los usuarios, ESET sostiene que las empresas deben garantizar su seguridad por encima de la funcionalidad y la usabilidad de las aplicaciones o servicios. Los recientes casos de implementaciones inadecuadas de tecnologías como ElasticSearch se observaron en Ecuador, Brasil, y ahora en Colombia. Más allá de los incumplimientos normativos que implica este tipo de incidentes, representa un riesgo para sus clientes y usuarios que pueden llegar a quedar expuestos a una amplia variedad de ataques de ingeniería social dirigidos en el caso que esta información caiga en manos inadecuadas.
ESET acerca #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea.
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2019/10/29/exposicion-informacion-personal-afecta-millones-colombianos/