Jueves 21 de Noviembre de 2019       •      Dólar= $799,89      •      UF=$28.154,94       •      UTM=$49.229
24/09/2019
Servidor mal configurado expone a millones de ecuatorianos

ESET analiza el caso en el que un servidor Elasticsearch mal configurado expuso hasta el pasado 11 de septiembre información privada de millones de personas en Ecuador. Se trata de un servidor, ubicado en Miami, que pertenece a una consultora ecuatoriana llamada Novaestrat.

El servidor contenía registros de aproximadamente 20.8 millones de individuos, equivalente a 18GB de datos, con información personal proveniente de distintas fuentes externas a la consultora, como el Instituto Ecuatoriano de Seguridad Social (IESS), el Banco del Instituto Ecuatoriano de Seguridad Social IESSS (BIESS) y la Asociación de Empresas Automotrices del Ecuador (AEADE).

Parte de la información expuesta incluye nombre completo, número de cédula, género, fecha y lugar de nacimiento, correo electrónico, número de teléfono del domicilio y del móvil, estado civil, fecha de matrimonio, nivel de educación y parentescos, mencionaron los investigadores responsables del hallazgo, Noam Rotem y Ran Locar de vpnMentors

Entre la información financiera relacionada a cuentas existentes en el BIESS que se filtró, figuraban: estado de la cuenta, balance actual en la cuenta, montos financiados, tipo de crédito, información de ubicación y contacto de la persona para las oficinas locales del BIESS. Además, la información filtrada incluía detalles sobre otros miembros de la familia, como nombre de la madre, padre y esposa, inclusive el número de documento de cada uno.

También fueron expuestos los datos laborales y corporativos, como el nombre del empleador y ubicación, número de RUC, título del empleo, información salarial, fecha de comienzo y de finalización en el trabajo.

“Este caso es un recordatorio de lo importante que es para las empresas evaluar sus sistemas de información y cómo están configurados. La implementación de una tecnología que aporte las herramientas para desarrollar actividades operativas, como en este caso lo era ElasticSearch, no debe perder de vista la necesidad de revisar que se cuenten con las configuraciones adecuadas para no dejar expuesta la información que con ellas se maneja. Todos estos incidentes nos recuerdan la importancia de pensar en seguridad desde el inicio de cualquier proyecto así como el realizar auditorías periódicas del estado de la seguridad de la información en las organizaciones”, opinó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.

No hay evidencia de que algún actor malintencionado haya accedido a la información expuesta, aun así el hallazgo demuestra la importancia de que las empresas y entidades gestionen correctamente la información de las personas. Teniendo en cuenta los datos publicados en la última edición del ESET Security Report, informe que analiza el estado de la seguridad de las empresas de América Latina, dos de cada cinco empresas de la región no cuenta con políticas de seguridad. Asimismo, pese a que el 61% de las empresas encuestadas en América Latina manifestó que el acceso indebido a sus sistemas es su principal preocupación, el 19% sufrió el último año incidentes de seguridad relacionados al acceso indebido a aplicaciones y/o bases de datos.

En cuanto a los usuarios, pese a no tener certezas en cuanto al uso y acceso a esta base de datos, desde ESET se recomienda estar atentos a posibles intentos de estafas y campañas de ingeniería social que puedan aparecer, ya que los cibercriminales utilizan información proveniente de filtraciones para confeccionar todo tipo de estafas.

Noticias Relacionadas
Unisys presenta recursos de optimización y seguridad para Azure (15/11/2019)
Fortinet adquiere compañía de ciberseguridad endpoint (29/10/2019)
Trend Micro compra firma de seguridad en la nube (22/10/2019)
Dell anuncia nuevos servidores EMC PowerEdge (23/09/2019)
Contáctenos
Dirección: Sucre 2235,
Ñuñoa, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2019 Editora Microbyte Ltda.