La firma VPN Mentor reveló una de las peores noticias en cuanto privacidad se refiere en Ecuador. Halló una masiva filtración de datos de más de 20 millones de personas en un servidor no seguro ubicado en Miami, en Florida, de las cuales 6,7 millones corresponden a menores de edad. Un equipo dirigido por los investigadores Noam Rotem y Ran Locar descubrió la vulneración que puede incluir datos además de personas fallecidas. Según su reporte, “la violación de datos involucra una gran cantidad de información sensible de identificación personal a nivel individual. La mayoría de las personas afectadas parecen estar ubicadas en Ecuador”.

VPN Mentor es el sitio web de revisión de VPN (red privada virtual) más grande del mundo. Su laboratorio de investigación es un servicio que se esfuerza por ayudar a la comunidad en línea a defenderse de las amenazas cibernéticas, al tiempo que educa a las organizaciones sobre cómo proteger los datos de sus usuarios. Ellos junto con el portal de tecnología Zdnet.com lanzaron este lunes 16 de septiembre la noticia.

La empresa especialista en seguridad reveló que la base de datos filtrada parece contener información obtenida de fuentes externas, entre ellas el Registro Civil de Ecuador, de la Asociación de Empresas Automotrices del Ecuador (AEADE) y del BIESS. La AEADE reaccionó y dijo que no levanta información personal ni financiera de los propietarios de vehículos.

Pero la investigación internacional reveló que toda la filtración pesaba 18 gigas. El servidor Elasticsearch contenía un total de aproximadamente 20,8 millones de registros de usuarios, un número mayor a la población total del Ecuador (16 millones). El mayor número proviene de registros duplicados o entradas antiguas, que contienen los datos de personas fallecidas.

Para verificar la validez de la base de datos, VPN Mentor realizó una búsqueda con un número de identificación aleatorio. Así encontraron una variedad de información personal confidencial.

La información más extensa fue la que parece haber sido recopilada del Registro Civil, según detalló otro portal Zdnet.com, quien conversó con los investigadores de VPN Mentor. Las personas aparecían en la base datos con su nombre completo, número de cédula, RUC, sexo, fecha y lugar de nacimiento, lugar de inscripción de nacimiento, nacionalidad, estado civil, fecha de matrimonio, dirección del domicilio, fecha de defunción, instrucción y profesión.  También hallaron información financiera relacionada con las cuentas mantenidas en el BIESS, que incluyen estado de la cuenta, saldo actual en la cuenta, monto financiado, tipo de crédito, ubicación e información de contacto de la sucursal local del IESS de la persona.

Asimismo, está información del nombre y ubicación del empleador, número de identificación fiscal del empleador, título profesional, información salarial, fecha de inicio y de finalización del trabajo.

Los investigadores afirman que una de las partes más preocupantes sobre esta violación de datos es la información detallada sobre los miembros de la familia de las personas y de los menores de edad. En cada archivo al que al que accedieron encontraron el nombre completo de la madre, padre y cónyuge con sus respectivos números de “cédula”. Se hallaron además registros automotrices de usuarios. La información filtrada incluye el número de placa del vehículo, la marca, el modelo, la fecha de compra, la fecha de registro más reciente y otros detalles técnicos sobre el modelo del auto.

Así parecía la información Lenín Moreno y de Julián Assange en la filtración. Imágenes: VPN Mentor

Sobre los niños, el portal Zdnet.com publicó lo siguiente: “Al mirar este índice también nos dimos cuenta de que había entradas para niños, algunos de los cuales nacieron tan recientemente como esta primavera. Por ejemplo, encontramos 6,77 millones de entradas para niños menores de 18 años. Estas entradas contenían nombres, cédulas, lugares de nacimiento, domicilios y sexo (...) Con la excepción de los últimos años, el resto de las entradas de la base de datos están en sintonía con los informes públicos sobre la tasa de natalidad del país”, apunta. Esta filtración, dice el portal, no solo expone a los niños a posibles robos de identidad, sino que también los pone en peligro físico porque sus domicilios se han dejado expuestos en línea para que cualquiera los pueda encontrar.

Los investigadores también encontraron una entrada sobre Julian Assange, fundador de WikiLeaks, con su número de cédula ecuatoriana. Es decir, la base de datos contiene datos recientes. Assange obtuvo el documento el diciembre de 2017. ZDNet aseguró que la base de datos estaba actualizada y contenía información de 2019. Pero los años con más registros van desde 2002 hasta 2015. Incluso este portal encontró información del presidente Lenín Moreno.

¿De donde salió la filtración?

La base de datos fue descubierta hace dos semanas por los investigadores de seguridad de VPN Mentor, Noam Rotem y Ran Locar, quienes compartieron sus hallazgos exclusivamente con ZDNet. Juntos trabajaron para analizar los datos filtrados, verificar su autenticidad y contactar al propietario del servidor.

El servidor, al parecer, es de propiedad de la empresa ecuatoriana Novaestrat. Esta es una compañía que brinda servicios de análisis para el mercado ecuatoriano. Su sitio web está inactivo, pero en la búsqueda caché de Google se puede ver aún su presentación: “Novaestrat es una empresa ecuatoriana dedicada a reinventar tu empresa en base a los datos procesados, para tomar decisiones acertadas con el menor impacto posible”. También dice: “Toma las decisiones financieras con información actualizada de todo el Sistema Financiero Ecuatoriano”.

Fue una empresa creada en 2017 para hacer las actividades más diversas desde producción de bienes y consultoría. La empresa actualizó sus datos en el 2018 e informó que estaba domiciliada en el sur de Quito. Sus socios son Agustín Martínez y William Garcés. Martínez trabajó en la función pública desde el 2012. En ese año laboró como programador de la Secretaría Nacional de Planificación y Desarrollo (Senplades). Luego fue analista de información hasta el 2013. En los registros de la Senplades aparece como funcionario del “proyecto emblemático de fortalecimiento del Sistema Nacional de Información (SNI)” con un sueldo 733 dólares.

Según el documento oficial de ese proyecto, el objetivo del SNI era “integrar sinérgicamente a las entidades del Gobierno central y a los gobiernos autónomos en busca de disponer de datos e información relevantes en los procesos de planificación del país y sus territorios”. El SNI, según el documento oficial, promovía “la recopilación de datos pertinentes, la conversión de datos en información relevante y su difusión para la toma oportuna de decisiones”.

Imagen de la emprea que habría tenido en su poder la gigantesca base de datos. Su web está desactivada. 

En 2014, Martínez pasó al hospital Carlos Andrade Marín y volvió a la Senplades en el 2015. En 2016 estuvo en Banecuador y en la Secretaría del Agua. En esta última fue director de tecnología. Mientras que Garcés fue gerente de la Secom entre 2012 y 2013. Entre 2014 y 2016 trabajó en el Banco Nacional de Fomento y su último cargo fue el de gerente de investigación y desarrollo. Plan V llamó a los números telefónicos locales y celulares de Martínez y Garcés registrados en la Superintendencia de Compañías. En un número habló una persona que se identificó como el contador de la empresa, pero aclaró que no trabaja en Novaestrat. Asimismo, se envió un correo electrónico para solicitar una entrevista. En ningún caso hubo respuesta.

ZDNet dijo que ponerse en contacto con la empresa no fue fácil. “La compañía no mostró una dirección de correo electrónico o un número de teléfono donde se pudiera localizar. ZDNet contactó a la empresa a través de Facebook e intentó contactar a los empleados a través de LinkedIn, sin éxito. El foro de soporte de la compañía arrojó un error de PHP cuando intentamos registrar una cuenta”.

No pasaron muchas horas de la denuncia para que la Fiscalía allanara las viviendas de Martínez y Garcés, quien fue detenido en Esmeraldas. Durante los allanamientos se incautaron equipos electrónicos, computadores y dispositivos de almacenamiento, además de documentación, entre otros elementos. Se investiga un presunto delito de violación a la intimidad. Ambos rindieron su versión. 

#URGENTE | #FiscalíaEc, con el apoyo de @PoliciaEcuador, lideró allanamiento al domicilio del representante legal de #Novaestrat, por el presunto delito de violación a la intimidad.
Más información (boletín) ⬇https://t.co/oiLAgWO1Ld pic.twitter.com/rSICvvX6Wr

— Fiscalía Ecuador (@FiscaliaEcuador) September 17, 2019

El equipo de investigación de VPN Mentor informó que descubrió esta violación como parte del proyecto de mapeo web a gran escala. Para ello escanean puertos para encontrar bloques de IP conocidos. Luego, el equipo busca vulnerabilidades en el sistema que indiquen una base de datos abierta. Una vez que se encuentra la violación de datos, el equipo vincula la base de datos al propietario. Luego se contactan con el dueño, le informan la vulnerabilidad y le sugieren formas en que el propietario puede hacer que su sistema sea más seguro. Ese proceso lo repitieron para el caso ecuatoriano. “Como hackers e investigadores éticos, nunca vendemos, almacenamos ni exponemos la información que encontramos”, afirman.

Para Alfredo Velasco, de Usuarios Digitales, la filtración es gravísima porque se exponen datos cruzados de millones de ciudadanos que incluyen datos bancarios y personales. Y coincide que es peor aun lo que respecta a los menores de edad, que los deja en total indefensión. Para el activista digital, es preocupante que, ante esas vulneraciones, el Gobierno ecuatoriano busque recopilar más información a través de datos biométricos y el reconocimiento facial. Usuarios Digitales difundió un comunicado a través del cual pidió a las autoridades que se haga una investigación a fondo de los responsables y que se conformen espacios donde la sociedad civil y otros actores puedan realizar auditorías independientes de la recolección y tratamiento de los datos.

¿Cómo una empresa privada obtuvo los datos personales? Velasco explica que hay dos formas: entrega de la información o hackeo, pero ambas son penalizadas por la ley ecuatoriana. Andrés Michelena, ministro de Telecomunicaciones, confirmó que no hubo hackeo sino una posible venta de las bases de datos conectadas con el SNI. La base de datos finalmente se aseguró la semana pasada, pero solo después de que VPN Mentor contactó al equipo CERT (Equipo de Respuesta a Emergencias Informáticas) de Ecuador, que sirvió como intermediario. Esto fue corroborado por Michelena, quien dijo que recibieron la alerta el pasado 11 de septiembre. Michelena agregó que existe en marcha una investigación penal contra la empresa por la supuesta sustracción de la información. Lorena Naranjo, directora de la Dirección Nacional de Registro de Datos Públicos, informó que en 72 horas enviará a la Asamblea una la ley de protección de datos personas. Una normativa, que según dijo, la han trabajado durante 8 meses y que no fue el resultado de esta coyuntura.

Michelena aseguró en varias ocasiones que “la información de los ecuatorianos” está segura, pero los investigadores internacionales que revelaron la filtración no lo creen así.

Los riesgos para la privacidad

La violación se cerró el 11 de septiembre de 2019, pero la información ya puede estar en manos malintencionadas. El portal VPN Mentor apunta a que los datos filtrados podrían crear problemas de privacidad duraderos para las personas afectadas. Es decir, pueden ser víctimas de estafas y ataques de phishing. Eso porque la información personal  expuesta incluye nombres completos, direcciones, números de teléfono, correos electrónicos, información sobre miembros de la familia y más. “Esta información deja a las personas en riesgo de estafas por correo electrónico y teléfono. Los piratas informáticos y otras partes maliciosas podrían usar las direcciones de correo electrónico y los números de teléfono filtrados para atacar a las personas con estafas y spam”.

Entre los datos capturados estaban los nombres de familiares con sus números de cédula. Imágen: VPN Mentor

Los ataques de suplantación de identidad pueden adaptarse -dicen los investigadores- a las personas que usan detalles expuestos para aumentar las posibilidades de que las personas hagan clic en los enlaces. “Esta violación de datos es particularmente grave simplemente por la cantidad de información que se reveló sobre cada individuo. Los estafadores podrían usar esta información para establecer confianza y engañar a las personas para que expongan más información. Por ejemplo, un estafador podría pretender ser amigo de un familiar que necesita ayuda financiera. Podrían respaldar la historia con información personal expuesta para generar confianza”. 

Otro riesgo que identifican es el robo de identidad y fraude financiero porque están los números de identificación nacionales y números únicos de contribuyentes. “Una parte maliciosa con acceso a los datos filtrados posiblemente podría reunir suficiente información para obtener acceso a cuentas bancarias y más. Además, el acceso a los detalles automotrices puede ayudar a los delincuentes a identificar vehículos específicos y la dirección de su propietario”. 

ZDNet, que también hizo sus propias verificaciones, encontró 7 millones de registros financieros y 2.5 millones de registros que contienen detalles del automóvil y del propietario del automóvil. “Al igual que el índice Elasticsearch que contiene los datos de los niños, estos dos índices también son extremadamente sensibles. La información en ambos índices sería tan valiosa como el oro en manos de bandas criminales. Los delincuentes podrían apuntar a los ciudadanos más ricos del país (según sus registros financieros) y robar automóviles caros (tener acceso a las direcciones de los propietarios de los automóviles y a los números de matrícula). Conecte los datos sobre los niños y los datos sobre los registros financieros, y los delincuentes tendrían una lista de los ecuatorianos más ricos, sus domicilios y si tienen hijos, lo que hace trivialmente fácil atacar y secuestrar a niños de familias ricas”. 

Asimismo la violación de datos también podría tener un impacto en las empresas ecuatorianas, según este portal. Los datos filtrados incluían información sobre los empleados de muchas compañías, así como detalles sobre algunas compañías y por lo tanto pueden estar en riesgo de espionaje comercial y fraude. El conocimiento de los empleados de una empresa podría ayudar a los competidores u otras partes maliciosas a recopilar datos confidenciales adicionales de la empresa, agregan. Entre los consejos que sugieren están los siguientes: 

• Asegurar los servidores
• Implementar reglas de acceso apropiadas
• Requerir autenticación para acceder a todos los sistemas
• Sugieren consultar esta guía sobre cómo proteger su sitio web y su base de datos en línea de los piratas informáticos.

VPN Mentor descubrió recientemente una red de fraude masivo dirigida a Groupon, un sitio de compras online, y a los vendedores de boletos en línea. También encontraron una violación de datos en la plataforma de correo electrónico utilizada por una empresa surcoreana, DKLOK.

Esta es la segunda fuga importante de datos de usuarios procedentes de un país sudamericano en la misma cantidad de meses. En agosto, ZDNet informó sobre un servidor Elasticsearch similar que expuso los registros de votantes de 14.3 millones de chilenos, alrededor del 80% de la población total del país.