{"id":1727,"date":"2019-10-29T09:53:48","date_gmt":"2019-10-29T14:53:48","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=1727"},"modified":"2020-08-08T13:47:17","modified_gmt":"2020-08-08T18:47:17","slug":"vulnerabilidad-deja-2-4-millones-de-registros-expuestos-de-empresa-colombiana","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/proteccion-de-datos\/vulnerabilidad-deja-2-4-millones-de-registros-expuestos-de-empresa-colombiana\/","title":{"rendered":"Vulnerabilidad deja 2.4 millones de registros expuestos de empresa Colombiana"},"content":{"rendered":"\n

The Hack ha descubierto de manera \u00fanica que una empresa colombiana ha dejado dos entornos vulnerables que exponen informaci\u00f3n de millones de ciudadanos y empresas clientes: este es posiblemente el mayor incidente de seguridad cibern\u00e9tica en la historia del pa\u00eds latinoamericano<\/strong> . La investigaci\u00f3n solo fue posible gracias a una colaboraci\u00f3n internacional entre nuestro equipo, el investigador franc\u00e9s Enzo (CEO de OnlineProtek, quien notific\u00f3 el incidente) y el investigador colombiano Camilo Guti\u00e9rrez Amaya (ESET).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

La empresa en cuesti\u00f3n es Mensajeros Urbanos<\/strong>, una plataforma de entrega urgente que se fund\u00f3 en 2014 en Bogot\u00e1. La compa\u00f1\u00eda opera en tres frentes distintos: personal, lo que permite a cualquier usuario de Internet solicitar un servicio de b\u00fasqueda y entrega; corporativo, con un contrato mensual para enviar documentos confidenciales; y comercial, con integraci\u00f3n API a aplicaciones de terceros y plataformas de comercio electr\u00f3nico o restaurantes (facilitando as\u00ed el pago y pedidos de Internet).<\/p>\n\n\n\n

El problema es que la compa\u00f1\u00eda se olvid\u00f3 de dos entornos de nube vulnerables: una instancia de Elasticsearch y un servidor web CloudFront, ambos alojados por Amazon. Elasticsearch conten\u00eda m\u00e1s de 2.4 millones de registros, incluidos el nombre, la direcci\u00f3n de correo electr\u00f3nico, el n\u00famero de tel\u00e9fono y<\/strong> el n\u00famero de individuos de la Ciudadan\u00eda Banknote<\/strong> (el \u00abID colombiano\u00bb), as\u00ed como datos similares de clientes corporativos.<\/p>\n\n\n\n

\"\"\/
Algunos registros de clientes corporativos incluso incluyen la direcci\u00f3n de inicio del viaje<\/em><\/figcaption><\/figure>\n\n\n\n

Dif\u00edcil de medir<\/h2>\n\n\n\n

Ya en el entorno de CloudFront, The Hack encontr\u00f3 una cantidad indefinida de archivos confidenciales, incluidos datos de Ciudadan\u00eda digitalizados, varias hojas de c\u00e1lculo de datos de clientes corporativos<\/strong> y una serie de gu\u00edas de integraci\u00f3n de la plataforma Mensajeros Urbanos para socios comerciales. La base de datos era tan grande que ni siquiera pod\u00edamos extraer su \u00edndice completo, por lo que no est\u00e1 mal estipular que el n\u00famero de documentos en exhibici\u00f3n tambi\u00e9n es de millones<\/strong> .<\/p>\n\n\n\n

\"\"\/
Ejemplos de billetes de Ciudadan\u00eda expuestos (haga clic para ampliar)<\/em><\/figcaption><\/figure>\n\n\n\n

La investigaci\u00f3n sobre este caso ha estado en curso desde septiembre, cuando Enzo, CEO de la compa\u00f1\u00eda francesa OnlineProtek, nos notific\u00f3 exclusivamente sobre los dos entornos vulnerables. A priori, creemos que fue una fuga del Banco Davivienda, el tercer banco m\u00e1s grande de Colombia; Esto se debe a que uno de los campos de datos de registros encontrados en Elasticsearch menciona \u00abDaviPlata\u00bb<\/strong> , la aplicaci\u00f3n m\u00f3vil de la instituci\u00f3n financiera en cuesti\u00f3n.<\/p>\n\n\n\n

Despu\u00e9s de numerosos intentos fallidos de contactar a Davivienda, y de haber notificado, con la ayuda de ESET Colombia, al equipo de respuesta a incidentes de seguridad inform\u00e1tica de la Asociaci\u00f3n Bancaria y de Financieras de Colombia (Asobancaria, asociaci\u00f3n representativa del sector bancario del pa\u00eds) – Encontramos, en un an\u00e1lisis exhaustivo, el verdadero responsable de los entornos vulnerables.<\/p>\n\n\n\n

La menci\u00f3n de DaviPlata, al parecer, se refiere a una integraci\u00f3n realizada por Mensajeros Urbanos con la aplicaci\u00f3n en cuesti\u00f3n para facilitar el pago a los clientes que tienen una cuenta en la instituci\u00f3n financiera.<\/p>\n\n\n\n

\"\"\/
El manual de integraci\u00f3n de la plataforma fue expuesto en el servidor<\/em><\/figcaption><\/figure>\n\n\n\n

Comentarios de expertos sobre el caso<\/h2>\n\n\n\n

Las empresas deben colocar la seguridad de sus usuarios como una prioridad por encima de la funcionalidad y usabilidad de las aplicaciones o servicios<\/strong> . \u00abLos casos recientes asociados con la implementaci\u00f3n inadecuada de tecnolog\u00edas como Elasticsearch, que hemos visto en Ecuador, Brasil y ahora en Colombia, muestran que las organizaciones a menudo priorizan sus negocios sobre la seguridad de la informaci\u00f3n\u00bb.<\/p> Camilo Guti\u00e9rrez, jefe de concientizaci\u00f3n e investigaci\u00f3n<\/em> de ESET para Am\u00e9rica Latina, <\/cite><\/blockquote>\n\n\n\n

Camilo, quien nos ayud\u00f3 en las investigaciones, se refiere a dos casos recientemente reportados aqu\u00ed en The Hack: una fuga que afect\u00f3 a pr\u00e1cticamente toda la sociedad ecuatoriana<\/a> ( exponiendo un total de 20.8 millones de datos<\/strong> ) y una vulnerabilidad en un sistema subcontratado. McDonald’s Brasil<\/a> , que expuso millones de informaci\u00f3n sobre los empleados que trabajan en la cadena de comida r\u00e1pida. En ambos casos, los problemas estaban en entornos Elasticsearch mal configurados.\u00bbEstos incidentes nos recuerdan la importancia de pensar en la seguridad desde el inicio de cualquier proyecto\u00bb.<\/p>\n\n\n\n

\u201cEste tipo de incidente deber\u00eda servir como una lecci\u00f3n para que las empresas dediquen tiempo y recursos a revisar sus tecnolog\u00edas y hacer de la seguridad un proceso continuo que atraviese todas las operaciones comerciales. Adem\u00e1s de las violaciones regulatorias que conlleva este tipo de incidente, las compa\u00f1\u00edas deben considerar que sus clientes y usuarios podr\u00edan estar expuestos a una amplia gama de ataques dirigidos a la ingenier\u00eda social si esta informaci\u00f3n cae en manos inapropiadas \u201d, <\/p>Contin\u00faa el experto. <\/cite><\/blockquote>\n\n\n\n

\"\"\/
Manual expuesto de mensajeros urbanos<\/em><\/figcaption><\/figure>\n\n\n\n

Finalmente, Camilo enfatiza a\u00fan m\u00e1s la importancia de la seguridad por dise\u00f1o<\/strong><\/em> , es decir, la pr\u00e1ctica de pensar en la seguridad desde el comienzo de una empresa. \u201cLa implementaci\u00f3n de una tecnolog\u00eda que proporcione las herramientas para realizar actividades operativas como Elasticsearch, en este caso, no deber\u00eda perder de vista la necesidad de revisar si tiene la configuraci\u00f3n adecuada para no exponer la informaci\u00f3n que se manipula. Todos estos incidentes nos recuerdan la importancia de pensar en la seguridad desde el inicio de cualquier proyecto \u201d, concluye.<\/p>\n\n\n\n

Desde la perspectiva del derecho colombiano<\/h2>\n\n\n\n

Curiosamente, a diferencia de Brasil, Colombia ha tenido una legislaci\u00f3n muy estricta en materia de seguridad de datos en entornos digitales<\/strong> . \u00abEn las regulaciones colombianas sobre la protecci\u00f3n de datos personales ( Ley 1581 de 2012<\/strong> ), debemos tener en cuenta que para el procesamiento de datos, es necesario planificar e implementar medidas de seguridad relevantes para cada proceso\u00bb, explica Ivan Marrugo, abogado y director. de Marrugo Rivera & Asociados, con sede en Bogot\u00e1.<\/p>\n\n\n\n

\u00abPor lo tanto, el art\u00edculo 17 de la ley se refiere a los deberes de los controladores de datos para garantizar los derechos de los propietarios, enfatizando en el p\u00e1rrafo de la obligaci\u00f3n de notificar a la autoridad competente, que en este caso es la Superintendencia de Industria y Comercio (SIC) \u201d, contin\u00faa. La fecha l\u00edmite para que la empresa se comunique con el organismo regulador a trav\u00e9s de la Delegaci\u00f3n de Protecci\u00f3n de Datos Personales es 15 d\u00edas h\u00e1biles <\/strong>despu\u00e9s de que se haya identificado la violaci\u00f3n.<\/p>\n\n\n\n

\"\"\/
M\u00e1s ejemplos de registros de usuarios comerciales de plataformas<\/em><\/figcaption><\/figure>\n\n\n\n

Ivan tambi\u00e9n se\u00f1ala que en 2019, mediante la\u00a0resoluci\u00f3n 21,478\u00a0, SIC advirti\u00f3 a Uber que no hab\u00eda tomado las medidas necesarias para proteger la informaci\u00f3n personal de sus usuarios despu\u00e9s de un incidente de seguridad que afect\u00f3 a una parte de los ciudadanos colombianos.\u00a0En la misma resoluci\u00f3n,\u00a0la Superintendencia defini\u00f3 algunas medidas b\u00e1sicas de seguridad de procesamiento de datos que cada aplicaci\u00f3n o servicio deber\u00eda adoptar<\/strong>\u00a0, algo que la Ley 1581 no ten\u00eda.\u00bbEs necesario promover una cultura de respeto por la protecci\u00f3n de datos a nivel organizacional\u00bb.<\/p>\n\n\n\n

Las medidas requeridas por la agencia incluyen el uso de:<\/p>\n\n\n\n

  • Mecanismos para la autenticaci\u00f3n de usuarios y el cifrado de informaci\u00f3n<\/li>
  • La capacitaci\u00f3n adecuada del factor humano para \u00abpromover una cultura de respeto y responsabilidad<\/li>
  • El desarrollo de \u00abplanes de acci\u00f3n efectivos<\/strong>\u00bb contra posibles incidentes<\/li>
  • Detecci\u00f3n y reparaci\u00f3n de vulnerabilidades del sistema<\/li>
  • La implementaci\u00f3n de medidas organizativas que se aplicar\u00e1n en todas las etapas de programaci\u00f3n de aplicaciones o servicios.<\/li><\/ul>\n\n\n\n

    \u00abEstos programas para la gesti\u00f3n y gesti\u00f3n de incidentes de seguridad de datos personales deben evaluarse peri\u00f3dicamente a trav\u00e9s de auditor\u00edas para identificar vulnerabilidades en la pr\u00e1ctica y fortalecer las debilidades que podr\u00edan desencadenar una posible violaci\u00f3n de la seguridad\u00bb, contin\u00faa Ivan. \u00abDel mismo modo, es necesario promover una cultura de respeto por la protecci\u00f3n de datos a nivel organizacional a trav\u00e9s de la capacitaci\u00f3n din\u00e1mica y la socializaci\u00f3n de la ley de protecci\u00f3n de datos personales, minimizando estas contingencias y promoviendo un sentido de pertenencia y responsabilidad institucional\u00bb, concluye. .<\/p>\n\n\n\n

    \"\"\/
    Ejemplo de hoja de c\u00e1lculo con entregas de carreras y corporativas (haga clic para ampliar)<\/em><\/figcaption><\/figure>\n\n\n\n

    Sin respuestas<\/h2>\n\n\n\n

    Temiendo por la seguridad de los datos de los ciudadanos colombianos, The Hack llam\u00f3 a Amazon el 16 de octubre, que r\u00e1pidamente contact\u00f3 a Mensajeros Urbanos y cerr\u00f3 ambas fuentes de la filtraci\u00f3n<\/strong> ; Sin embargo, es dif\u00edcil saber si alg\u00fan agente malicioso tuvo acceso a la base de datos durante el tiempo que permaneci\u00f3 expuesto.<\/p>\n\n\n\n

    Al momento de escribir este art\u00edculo, la compa\u00f1\u00eda no ha respondido a nuestros intentos de contacto.<\/p>\n\n\n\n

    Fuente: https:\/\/thehack.com.br\/exclusivo-empresa-colombiana-expoe-mais-de-2-4-milhoes-de-registros-pessoais\/amp\/
    <\/p>\n","protected":false},"excerpt":{"rendered":"

    The Hack ha descubierto de manera \u00fanica que una empresa colombiana ha dejado dos entornos vulnerables que exponen informaci\u00f3n de millones de ciudadanos y empresas clientes: este es posiblemente el mayor incidente de seguridad cibern\u00e9tica en la historia del pa\u00eds latinoamericano . La investigaci\u00f3n solo fue posible gracias a una colaboraci\u00f3n internacional entre nuestro equipo, el…<\/p>\n","protected":false},"author":1,"featured_media":1729,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[43,123,29,33,91],"class_list":["post-1727","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-proteccion-de-datos","tag-brecha","tag-datos-personales","tag-ley-1581","tag-seguridad-informatica","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=1727"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/1727\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/1729"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=1727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=1727"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=1727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}