Ecuador ciberseguridad

Falla informática en Ecuador: los datos de casi toda la población quedaron expuestos

La firma vpnMentor halló que la empresa ecuatoriana de marketing y análisis, Novarest, mantenía un servidor con los datos de millones de ciudadanos sin la seguridad necesaria. Cualquiera podía acceder a ellos.

Primera modificación: 17/09/2019 - 04:03

La ministra ecuatoriana del Interior, María Paula Romo, el general Carlos Cabrera, director de la Policía Judicial y la comandante general surrogante, Fernanda Tamayo, en una rueda de prensa el 16 de septiembre de 2019, en Quito, Ecuador, luego de que se diera a conocer la “vulneración” de datos de millones de ecuatorianos, a través del servidor de una compañía ecuatoriana, con un servidor en Miami. EFE/ Daniela Brik

Texto por: Yurany Arciniegas Seguir

Anuncios

Ecuador es un país con alrededor de 17 millones de habitantes y los datos de casi toda esta población quedaron al alcance de cualquier hacker. Se trata de una de las mayores exposiciones en internet de la información privada de los habitantes de un país suramericano.

Aún no está confirmado si estos datos fueron sustraídos por completo antes de que se descubriera la vulnerabilidad del sistema que los contenía, algo que llevaría al riesgo de que pueda estar al alcance de personas con fines delictivos.

"Este archivo es el sueño de cualquier organización criminal o de inteligencia", aseguró Noam Rotem, uno de los dos informáticos que encontraron la grave falla cibernética.

El hallazgo se produjo cuando vpnMentor realizaba un proyecto sobre mapeo web a gran escala. Sus expertos escanearon puertos IP para verificar si se encontraban vulnerabilidades en el sistema.

Fue así como encontraron que Novarest, con un servidor en Miami, contenía en la nube información abierta de alrededor de 20 millones de personas de Ecuador, pues también incluía los datos de ciudadanos ya fallecidos. En total, se trató de 18GB de datos.

La compañía israelí informó que de inmediato reportó la falla al propietario del servidor, cuya base de datos fue cerrada el 11 de septiembre.

Sin embargo, la empresa de seguridad israelí explicó que, aunque actualmente no se pueda acceder a ese sistema, en caso de que la información efectivamente haya sido filtrada por terceras partes, es una situación que ya no se puede detener.

¿Qué información estuvo expuesta?

Entre la información general de millones de ecuatorianos, que vpnMentor pudo verificar, se encontraban:

Nombres completos, género, fecha de nacimiento, lugar de nacimiento, correo electrónico, dirección domiciliaria, números de teléfono de casa, trabajo y celular, estado civil, fecha de matrimonio, nivel de educación y hasta la fecha de fallecimiento para algunos casos.

La directora de Dirección Nacional del Registro de Datos Públicos (Dinardap), Lorena Naranjo, en rueda de prensa, el 16 de sepiembre de 2019, en Quito, Ecuador. EFE/ Kevin Vélez

Además, información sensible como estados de cuenta bancaria, saldo actual, dinero financiado, créditos, placa de auto, marca, modelo y las relaciones familiares entre las personas en el listado, lo que dejó en riesgo a la población ecuatoriana de ataques cibernéticos, robos, extorsiones y espionaje entre otros delitos.

También se encontraba la información de cerca de 6.7 millones de niños, según la firma de seguridad cibernética.

Los expertos señalaron que también pudieron acceder a datos del fundador de Wikileaks, Julian Assange, como su número de identificación nacional, obtenido luego de que las autoridades ecuatorianas le concedieran el asilo político y diplomático en 2012.

Gobierno ecuatoriano afirma que la información de dos instituciones podría haber sido sustraída

La investigación de vpnMentor se limita a la vulnerabilidad de los datos, pero no confirma que hayan sido robados, situación que ahora está bajo investigación del gobierno ecuatoriano.

El ministro de Telecomunicaciones de Ecuador, Andrés Michelena, en rueda de prensa, el 16 de septiembre de 2019. EFE/ Kevin Vélez

Aunque la indagación está en curso, el lunes 16 de septiembre, en una conferencia de prensa, el ministro ecuatoriano de Telecomunicaciones, Andrés Michelena, aseguró: "tenemos una empresa privada ecuatoriana que ha sustraído información posiblemente de dos o tres instituciones públicas, que trabajaron en el régimen del Gobierno anterior".

El ministro apuntó a la posible obtención de información de las bases del sistema nacional de información creado por el Ejecutivo de Rafael Correa, quien gobernó entre 2007 y 2017, para "justamente convalidar las bases de datos que tenían en protección social, salud y educación" y que "lastimosamente no se han cuidado los protocolos ni manuales específicos que permitan proteger los datos personales", dijo.

"Luego de haber sido alertados, hemos emprendido una investigación penal", dijo Michelena, quien agregó que debido a que la indagación está en marcha, las autoridades no pueden entregar mayores detalles.

En un intento por dar un parte de tranquilidad a los ciudadanos, el ministro aseveró que “no ha habido un hackeo ni ciberataques a la seguridad del país".

Luego de que el Gobierno ecuatoriano sufriera una oleada de ataques cibernéticos días después de interrumpir el asilo al fundador de WikiLeaks, en la Embajada de Londres, Quito colabora con organismos y países expertos en ciberseguridad.

En medio de la controversia, el presidente Lenín Moreno, anunció un proyecto de Ley de Protección de Datos Personales.

France24 con Reuters y EFE