2.4 millones de datos de colombianos fueron expuestos en la red

2.4 millones de datos de colombianos fueron expuestos en la red

Según reportes de ciberseguridad, la aplicación Mensajeros Urbanos erró en una configuración.

Ciberataque en Atlanta

Los datos, que estaban almacenados inseguramente, incluyen nombres, documentos de identidad y números de teléfonos. 

Foto:

Efe

Por: REDACCIÓN TECNÓSFERA
29 de octubre 2019 , 08:15 p.m.

La aplicación de envíos a domicilio Mensajeros Urbanos tuvo un fallo de configuración de seguridad que resultó en la filtración de 2.4 millones de datos de colombianos en la red, según reportes. 

Firmas de ciberseguridad confirmaron que dicha cantidad de información estaba alojada en una instancia de ElasticSearch, que había sido configurada de manera insegura y que se comunicaron con las organizaciones en Colombia para reparar el hecho. 

El portal especializado The Hack reveló la existencia de dos entornos vulnerables que expusieron información de millones de ciudadanos y empresas clientes, en lo que catalogan como "el mayor incidente de seguridad cibernética en la historia del país".

The Hack asegura que las instancias pertenecen a la empresa Mensajeros Urbanos, app de origen bogotano que se especializa en la entrega de paquetes y documentos a domicilio. 

En la investigación, en colaboración con OnlineProtek (primera organización en revelar la vulnerabilidad) y Eset, se confirmó que los millones de datos estaban disponibles sin necesidad de autenticación.

Parte de los datos en información expuesta son: Nombres, números de cédula, dirección de correo y número de teléfono celular.

Este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones

En algunas capturas de pantalla reveladas por el medio se ven imágenes de documentos colombianos. Según confirmó Eset a EL TIEMPO, también estaban alojadas imágenes de facturas. 

cedulas expuestas

Captura de pantalla de cédulas expuestas obtenidas por The Hack

Foto:

Tecnosfera

La aplicación ofrece un servicio personal, de entregas particulares, pero también un segmento corporativo y comercial, que permite el envío de "documentos confidenciales" e integraciones con plataformas de comercio electrónico o restaurantes para facilidades de pedidos por internet. 

En una publicación de blog, Eset manifestó que "este incidente deja en evidencia, nuevamente, que las empresas aún no están considerando la seguridad de los datos desde el diseño de sus implementaciones. Una tecnología será tan segura como el tiempo que se le dedique para hacerla segura".

Camilo Gutiérrez, Jefe del laboratorio de Investigación de ESET Latinoamérica, dijo a EL TIEMPO que "no se trata de una filtración, falla del servidor o vulnerabilidad sino de una mala configuración en el servicio. No es culpa de ElasticSearch sino que la forma de configuración dejo la información expuesta". 

Lo que viene es que empresas de ciberseguridad y quienes crean estar afectados empiecen desarrollar proyectos de búsqueda (...) Si la fuga se dio, esos datos van a quedar expuestos en la darknet

Ante la pregunta sobre cómo un ciudadano podría conocer si fue víctima o no, Gutiérrez indica que la empresa debe reconocer que tuvo un error de configuración e informe directamente a los afectados.

Aunque la compañía de ciberseguridad dice que el problema se corrigió y la información ya no está expuesta, resulta imposible saber si dicha información alcanzó a llegar al mercado negro. Se estima que los datos de identidad de un usuario pueden ser vendidos por un valor cercano a los 10 dólares. 

Según el Coronel Fredy Bautista, de la organización Safe, lo que evidencia el reporte del portal brasilero son las capturas de "imágenes de cédulas de ciudadanía y datos biográficos de algunas de las personas usuarias de esta aplicación".

Aunque la base de datos al parecer ya no está disponible, "ahora lo que viene es que empresas de ciberseguridad y quienes crean estar afectados empiecen desarrollar proyectos de búsqueda en mercados ilegales. Si la fuga se dio, esos datos van a quedar expuestos en la darknet".


REDACCIÓN TECNÓSFERA
@TecnosferaET

Descarga la app El Tiempo

Con ella puedes escoger los temas de tu interés y recibir notificaciones de las últimas noticias.

Conócela acá
Sigue bajando para encontrar más contenido

CREA UNA CUENTA


¿Ya tienes cuenta? INGRESA

Llegaste al límite de contenidos del mes

Disfruta al máximo el contenido de EL TIEMPO DIGITAL de forma ilimitada. ¡Suscríbete ya!

Si ya eres suscriptor del impreso

actívate

* COP $900 / mes durante los dos primeros meses

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.