Tecnología > CIBERSEGURIDAD
Los casos en los que se filtraron bases de datos uruguayas por fallos informáticos
Los datos son una mina de oro. Hoy, más que nunca, para las empresas, para las redes sociales, para las aplicaciones.
Los usuarios, casi de manera inocente, los depositan en cada una de las plataformas en internet que pretenden usar sin temor a que esa información llegue a manos de una persona cuyos fines sean robar.
Sin embargo, en los últimos tiempos han proliferado incidentes de seguridad informática que han ventilado miles de datos personales de miles (o cientos de miles) de uruguayos.
El caso más resonante fue el de Facebook. En la última semana se supo que datos de más de 500 millones de usuarios se hicieron públicos en foros de ciberdelincuentes. Según supo Cromo, fueron 1.509.314 los casos uruguayos . En todos se sabía el nombre completo de la persona y el número de WhatsApp. En quienes especificaban en su cuenta su situación sentimental, también se sabía. Además, algunos indicaban en qué localidad vivían.
La filtración, a su vez, permitió a los ciberdelincuentes acceder a 11.542 correos electrónicos de uruguayos.
Más incidentes
Esta base de datos divulgada no ha sido la única. El año pasado el experto en seguridad informática Jayson Minard encontró vulnerabilidades en los sitios web de servicios postales UES y DAC. En su caso no fue un hackeo sino meros fallos informáticos que detectó y reportó, y que dejaban al descubierto cientos de miles de datos personales de uruguayos.
Minard pudo acceder, debido a una vulnerabilidad informática, a 2.088.253 archivos en formato de imagen filtrada entre 2018 y julio de 2019 en el sitio web de UES. Allí aparece una lista larga de archivos y documentos digitales que, dependiendo del tipo de documento, incluían nombre, dirección, teléfono, firma, número de cédula (impresa y/o escrita a mano), acciones legales, montos de transacciones, envíos de tarjetas de crédito, trámites de servicios, recibos y más.
En el caso de UES, se veían situaciones “sin protección permitiendo la lectura de datos sin la necesidad de ingreso, acceso al cambio de cuentas sin previo ingreso y habilitación de la creación de ingresos falsos que exponen todos los datos del sistema”, indicó Minard en su sitio fuga.uy y que Cromo comprobó en una investigación.
Hay datos de clientes de bancos privados, locales de cobranza, seguros y hasta de una mutualista.
También encontró datos de más de 858.000 entregas de paquetes a todas las ciudades que incluían el comercio donde los objetos fueron comprados, el nombre del destinatario y su dirección. Y hay decenas de compañías involucradas: desde tiendas de ropa y telefonicas a empresas que venden bicicletas.
En el caso de DAC, halló fácilmente 471.195 números de rastreo con la información completa de tanto el emisor como del receptor o destinatario de los paquetes enviados a través de esta empresa. Allí se veían los nombres del emisor y del destinatario, así como sus direcciones, y las firmas digitales del destinatario en el 70% de los recibos, según calculó.
Según dijo, algunos datos se duplican en cada sistema, por lo que estima que en total son más de dos millones de documentos los filtrados.
Esto valió sanciones para ambas compañías de parte de la Unidad Reguladora y de Control de Datos Personales (URCDP), el organismo gubernamental que vela por su protección.
El caso de las cédulas
Hace dos años, Ezequiel Pereira, un joven estudiante de Ingeniería que acaba de migrar para incorporarse al equipo de seguridad informática de Facebook, había logrado acceder a las cédulas de identidad de todos los uruguayos de la historia, las difundió en internet y el gobierno lo intimó a darlas de baja.
Lo que hizo este experto, quien logró hacerse de miles de dólares en un programa de recompensas de Google por encontrar fallas en sus plataformas, fue recolectar los datos en sitios web gubernamentales. En algunos trámites de estas páginas exigen que se escriba un correo electrónico, luego un número de cédula de identidad, sin puntos ni guión. Tras digitar el número, el sistema devuelve automáticamente el nombre y apellidos y, en casos específicos, fecha de nacimiento. El sistema arroja esta información para agilizar el trámite que el usuario realiza “ahorrándole” escribir su identidad completa.
Ezequiel aprovechó esta función y montó un programa informático (en la jerga informática le llaman script) en el que todos esos pasos, en vez de realizarlos una persona, los hiciese una computadora. El programa probaba por sí solo todas las cédulas de la historia. Número por número. Automáticamente, le arrojaba el nombre y apellido. Así generó la gigantesca base de datos.
El fallo de la Udelar
Otro estudiante de ingeniería comprobó vulnerabilidades en la web de la biblioteca de la Universidad de la República.
La historia es de Damián Sire. Cuando ingresó en la universidad, en 2016, fue a inscribirse en bedelía para estudiar la Licenciatura en Matemáticas. Allí le dieron un usuario y contraseña para acceder a eva.udelar.edu.uy, el portal donde se informan datos sobre materias que está cursando el estudiante.
Luego fue a la biblioteca para reservar un libro. En ese lugar, le llamó la atención que dispusieran de sus datos personales. A partir de ahí, se puso a investigar por qué sucedía eso. La conclusión que sacó es que toda la información de los datos personales que está en el portal eva.udelar.edu.uy se cruza con el de la biblioteca y allí aparecían datos personales de los estudiantes y exestudiantes (nombre, domicilio, mail y número de teléfono). En febrero de 2020 logró que la dieran de baja.
Para qué sirve esta información
Si un hacker tiene mi número de teléfono, mi correo electrónico, mi nombre completo y sabe donde vivo, ¿debo preocuparme?
La respuesta es no. Pero debés estar atento si es que querés ahorrarte algún dolor de cabeza que otro.
Por ejemplo, estos ataques sirven como insumo para obtener datos más precisos de las personas para amenazarlas o amedrentarlas con divulgar datos sensibles si no les transfieren dinero. “Cuanta más información se tenga de una persona, más posibilidades hay para que se la pueda amenazar”, indicó Reynaldo De La Fuente, director de Datasec, una empresa que brinda soluciones de seguridad informática.
Mensajes de WhatsApp de extraños que se hacen pasar por una entidad, al igual que SMS o mails falsos que se hacen pasar por alguien conocido (un amigo, un banco o quien fuera), pueden generar problemas.
¿Y hay más ataques a bases de datos? De La Fuente dijo que “en la medida que cada día consumimos mas servicios de internet la probabilidad de que datos de uruguayos se expongan crece”.
Y dijo que no hay duda que la cantidad de incidentes de ciberseguridad a empresas locales “ha aumentado”. “Lo cierto es que ha crecido en todo el mundo. Por lo que no es un fenómeno local”, puntualizó.
