Ecuadorleak: masiva filtración de datos personales afecta potencialmente a la totalidad del país

^Flickr 

La información personal de aproximadamente 20 millones de ecuatorianos ha quedado expuesta en línea debido a una base de datos mal configurada, según informa CNN. La filtración alcanza a potencialmente casi toda la población del Ecuador (16 millones), incluyendo unos 7 millones de menores.

La base de datos, un servidor Elasticsearchd de la compañía de analítica Novaestrat, fue descubierta hace dos semanas por los investigadores de seguridad de vpnMentor, Noam Rotem y Ran Locar, quienes compartieron sus hallazgos con ZDNet. Luego, el sitio y los especialistas analizaron los datos filtrados, verificando su autenticidad y contactando al propietario del servidor.

Luego, VpnMentor informó de la filtración a los funcionarios ecuatorianos quienes cerraron rápidamente la brecha, pero el daño ya estaba hecho. "Una vez que los datos se han expuesto al mundo, no se pueden deshacer", advirtió el informe vpnMentor. "La base de datos ahora está cerrada, pero la información ya puede estar en manos de partes maliciosas", añade.

El servidor Elasticsearch contenía un total de aproximadamente 20.8 millones de registros de usuarios, un número mayor que el total de la población del país. Esta cifra proviene de registros duplicados o entradas antiguas, que contienen los datos de personas fallecidas, según la Oficina del Fiscal General del Estado ecuatoriano.

Fuentes

Los datos se distribuyeron entre diferentes índices, los cuales contenían información supuestamente obtenida de diferentes fuentes. La base de datos almacenó detalles como nombres, información sobre familiares y arboles genealógicos, datos de registro civil, información financiera y laboral.

Según los nombres de estos índices, la base de datos completa podría dividirse en dos categorías principales: los que parecen haber sido recopilados de fuentes gubernamentales, y los que parecen haber sido recolectados de bases de datos privadas.

La información más extensa fue la que parece haber sido recopilada del registro civil del gobierno ecuatoriano. Estos datos contenían entradas con los nombres completos de los ciudadanos, fechas y lugares de nacimiento, domicilios, estado civil, cédulas, información de trabajo, números de teléfono y niveles educativos.

^{Ejemplo de cómo se mostraba la información de las personas
VPNMentor} 

Una de las cosas más impresionantes de la filtración es que incluía información de Lenin Moreno, el presidente del país, e incluso de Julian Assange, que obtuvo un número de identificación nacional luego de recibir asilo político.

Por el lado de las fuentes privadas, estas parecen ser del Banco del Instituto Ecuatoriano de Seguridad Social (BIESS) y la Asociación de Empresas Automotrices del Ecuador (AEADE). Mientras que la primera mostraba información financiera, como el estado de la cuenta, el saldo, el tipo de crédito e información sobre el titular de la cuenta, incluidos los detalles del trabajo; la segunda contenía información sobre los propietarios de automóviles, como modelos y placas.

Respuesta del gobierno

El último lunes 16 de setiembre, fiscales y una fuerza de policía federal allanaron la casa William Roberto G, representante legal de Novaestrat. Las autoridades confiscaron equipos electrónicos y computadoras. Más tarde esa noche, la policía lo encontró y lo detuvo en la provincia de Esmeraldas, en el noroeste de Ecuador.

"Será transferido de inmediato para que el fiscal ecuatoriano pueda recopilar información en el marco de la investigación que se está llevando a cabo", tuiteó la ministra del Interior, Maria Paula Romo.

Por su parte el ministro de Telecomunicaciones, Andrés Michelena, utilizó la misma red social para asegurar que "si se confirma que violaron la privacidad personal de los ecuatorianos”, el responsable sería castigado penalmente.

Cabe señalar que, según el ministerio de telecomunicaciones del Ecuador, esta filtración no ha sido un hackeo de datos o un ataque cibernético en las bases de datos del gobierno. Además, la institución aseguró que Novaestrat pudo haber llevado a cabo esta violación en colaboración con ex funcionarios que tenían acceso a la información.
 

Victor Román
Esta noticia ha sido publicada originalmente en N+1, ciencia que suma.

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que suma: www.nmas1.org”.