The Hack ha descubierto de manera única que una empresa colombiana ha dejado dos entornos vulnerables que exponen información de millones de ciudadanos y empresas clientes: este es posiblemente el mayor incidente de seguridad cibernética en la historia del país latinoamericano . La investigación solo fue posible gracias a una colaboración internacional entre nuestro equipo, el investigador francés Enzo (CEO de OnlineProtek, quien notificó el incidente) y el investigador colombiano Camilo Gutiérrez Amaya (ESET).
La empresa en cuestión es Mensajeros Urbanos, una plataforma de entrega urgente que se fundó en 2014 en Bogotá. La compañía opera en tres frentes distintos: personal, lo que permite a cualquier usuario de Internet solicitar un servicio de búsqueda y entrega; corporativo, con un contrato mensual para enviar documentos confidenciales; y comercial, con integración API a aplicaciones de terceros y plataformas de comercio electrónico o restaurantes (facilitando así el pago y pedidos de Internet).
El problema es que la compañía se olvidó de dos entornos de nube vulnerables: una instancia de Elasticsearch y un servidor web CloudFront, ambos alojados por Amazon. Elasticsearch contenía más de 2.4 millones de registros, incluidos el nombre, la dirección de correo electrónico, el número de teléfono y el número de individuos de la Ciudadanía Banknote (el “ID colombiano”), así como datos similares de clientes corporativos.
Difícil de medir
Ya en el entorno de CloudFront, The Hack encontró una cantidad indefinida de archivos confidenciales, incluidos datos de Ciudadanía digitalizados, varias hojas de cálculo de datos de clientes corporativos y una serie de guías de integración de la plataforma Mensajeros Urbanos para socios comerciales. La base de datos era tan grande que ni siquiera podíamos extraer su índice completo, por lo que no está mal estipular que el número de documentos en exhibición también es de millones .
La investigación sobre este caso ha estado en curso desde septiembre, cuando Enzo, CEO de la compañía francesa OnlineProtek, nos notificó exclusivamente sobre los dos entornos vulnerables. A priori, creemos que fue una fuga del Banco Davivienda, el tercer banco más grande de Colombia; Esto se debe a que uno de los campos de datos de registros encontrados en Elasticsearch menciona “DaviPlata” , la aplicación móvil de la institución financiera en cuestión.
Después de numerosos intentos fallidos de contactar a Davivienda, y de haber notificado, con la ayuda de ESET Colombia, al equipo de respuesta a incidentes de seguridad informática de la Asociación Bancaria y de Financieras de Colombia (Asobancaria, asociación representativa del sector bancario del país) – Encontramos, en un análisis exhaustivo, el verdadero responsable de los entornos vulnerables.
La mención de DaviPlata, al parecer, se refiere a una integración realizada por Mensajeros Urbanos con la aplicación en cuestión para facilitar el pago a los clientes que tienen una cuenta en la institución financiera.
Comentarios de expertos sobre el caso
Las empresas deben colocar la seguridad de sus usuarios como una prioridad por encima de la funcionalidad y usabilidad de las aplicaciones o servicios . “Los casos recientes asociados con la implementación inadecuada de tecnologías como Elasticsearch, que hemos visto en Ecuador, Brasil y ahora en Colombia, muestran que las organizaciones a menudo priorizan sus negocios sobre la seguridad de la información”.
Camilo Gutiérrez, jefe de concientización e investigación de ESET para América Latina,
Camilo, quien nos ayudó en las investigaciones, se refiere a dos casos recientemente reportados aquí en The Hack: una fuga que afectó a prácticamente toda la sociedad ecuatoriana ( exponiendo un total de 20.8 millones de datos ) y una vulnerabilidad en un sistema subcontratado. McDonald’s Brasil , que expuso millones de información sobre los empleados que trabajan en la cadena de comida rápida. En ambos casos, los problemas estaban en entornos Elasticsearch mal configurados.”Estos incidentes nos recuerdan la importancia de pensar en la seguridad desde el inicio de cualquier proyecto”.
“Este tipo de incidente debería servir como una lección para que las empresas dediquen tiempo y recursos a revisar sus tecnologías y hacer de la seguridad un proceso continuo que atraviese todas las operaciones comerciales. Además de las violaciones regulatorias que conlleva este tipo de incidente, las compañías deben considerar que sus clientes y usuarios podrían estar expuestos a una amplia gama de ataques dirigidos a la ingeniería social si esta información cae en manos inapropiadas ”,
Continúa el experto.
Finalmente, Camilo enfatiza aún más la importancia de la seguridad por diseño , es decir, la práctica de pensar en la seguridad desde el comienzo de una empresa. “La implementación de una tecnología que proporcione las herramientas para realizar actividades operativas como Elasticsearch, en este caso, no debería perder de vista la necesidad de revisar si tiene la configuración adecuada para no exponer la información que se manipula. Todos estos incidentes nos recuerdan la importancia de pensar en la seguridad desde el inicio de cualquier proyecto ”, concluye.
Desde la perspectiva del derecho colombiano
Curiosamente, a diferencia de Brasil, Colombia ha tenido una legislación muy estricta en materia de seguridad de datos en entornos digitales . “En las regulaciones colombianas sobre la protección de datos personales ( Ley 1581 de 2012 ), debemos tener en cuenta que para el procesamiento de datos, es necesario planificar e implementar medidas de seguridad relevantes para cada proceso”, explica Ivan Marrugo, abogado y director. de Marrugo Rivera & Asociados, con sede en Bogotá.
“Por lo tanto, el artículo 17 de la ley se refiere a los deberes de los controladores de datos para garantizar los derechos de los propietarios, enfatizando en el párrafo de la obligación de notificar a la autoridad competente, que en este caso es la Superintendencia de Industria y Comercio (SIC) ”, continúa. La fecha límite para que la empresa se comunique con el organismo regulador a través de la Delegación de Protección de Datos Personales es 15 días hábiles después de que se haya identificado la violación.
Ivan también señala que en 2019, mediante la resolución 21,478 , SIC advirtió a Uber que no había tomado las medidas necesarias para proteger la información personal de sus usuarios después de un incidente de seguridad que afectó a una parte de los ciudadanos colombianos. En la misma resolución, la Superintendencia definió algunas medidas básicas de seguridad de procesamiento de datos que cada aplicación o servicio debería adoptar , algo que la Ley 1581 no tenía.”Es necesario promover una cultura de respeto por la protección de datos a nivel organizacional”.
Las medidas requeridas por la agencia incluyen el uso de:
- Mecanismos para la autenticación de usuarios y el cifrado de información
- La capacitación adecuada del factor humano para “promover una cultura de respeto y responsabilidad
- El desarrollo de “planes de acción efectivos” contra posibles incidentes
- Detección y reparación de vulnerabilidades del sistema
- La implementación de medidas organizativas que se aplicarán en todas las etapas de programación de aplicaciones o servicios.
“Estos programas para la gestión y gestión de incidentes de seguridad de datos personales deben evaluarse periódicamente a través de auditorías para identificar vulnerabilidades en la práctica y fortalecer las debilidades que podrían desencadenar una posible violación de la seguridad”, continúa Ivan. “Del mismo modo, es necesario promover una cultura de respeto por la protección de datos a nivel organizacional a través de la capacitación dinámica y la socialización de la ley de protección de datos personales, minimizando estas contingencias y promoviendo un sentido de pertenencia y responsabilidad institucional”, concluye. .
Sin respuestas
Temiendo por la seguridad de los datos de los ciudadanos colombianos, The Hack llamó a Amazon el 16 de octubre, que rápidamente contactó a Mensajeros Urbanos y cerró ambas fuentes de la filtración ; Sin embargo, es difícil saber si algún agente malicioso tuvo acceso a la base de datos durante el tiempo que permaneció expuesto.
Al momento de escribir este artículo, la compañía no ha respondido a nuestros intentos de contacto.
Fuente: https://thehack.com.br/exclusivo-empresa-colombiana-expoe-mais-de-2-4-milhoes-de-registros-pessoais/amp/