En páginas web como OLX y Mercado Libre y sitios como la Bahía, en Guayaquil, se ofertan bases de datos ‘actualizadas’ de entidades públicas como el Registro Civil y las del Consejo Nacional Electoral (CNE).
La vulneración de datos de al menos 20,8 millones de ciudadanos en Ecuador, que se conoció el 16 de septiembre pasado, no es nueva.
En páginas web como OLX y Mercado Libre y sitios como la Bahía, en Guayaquil, se ofertan bases de datos ‘actualizadas’ de entidades públicas como el Registro Civil y las del Consejo Nacional Electoral (CNE).
De hecho, la Dirección Nacional de Registro de Datos Públicos (Dinardap) denunció estas ventas ante la Fiscalía.
“En estas (páginas web) aparecían publicidad sobre la venta de bases de datos del CNE y del Registro Civil. Denunciamos para que se investigue si efectivamente eran o se trataba de un fraude, pero sí registramos que en cada una de las páginas ya se habían dado dos ventas”, indica Lorena Naranjo, titular de la Dinardap.
El dato personal vendido como una mercancía entre los que comercializan bienes y servicios evidencia la vulnerabilidad de las bases de datos, cuyo manejo es responsabilidad de las instituciones públicas y privadas. Esto da paso a las llamadas de los call center de empresas de telemarketing, a las que el ciudadano nunca ha entregado su información directamente.
Sin embargo, lo grave de la reciente filtración, detectada por la empresa de seguridad informática de origen israelí vpnMentor, es el nivel de detalle de la información que la empresa ecuatoriana Novaestrat depositó en servidores vulnerables domiciliados en Miami, Estados Unidos.
Nombres completos, fechas de nacimiento, direcciones del domicilio, estado civil, número de cédulas, de hijos y de teléfonos, historial laboral, nivel educativo, datos crediticios, placas y modelos de carros identificando a sus dueños, declaración de impuestos. Esta vulneración incluso alcanzó al presidente de la República, Lenín Moreno, sus hijas y esposa, según la publicación del sitio web ZDNet.
El cómo Novaestrat, con un patrimonio de US$ 3.000, obtuvo estos datos es lo que la Fiscalía debe determinar. Las autoridades nacionales descartaron un “hackeo” o “ataque informático” a los entes gubernamentales que eran custodios de la información filtrada, que incluye al menos a cinco entidades: Registro Civil, Banco del IESS (Biess), Agencia Nacional de Tránsito, SRI y Senescyt.
El ministro de Telecomunicaciones, Andrés Michelena, aseguró, esta semana, que funcionarios públicos del “gobierno de Rafael Correa, quienes trabajaban en el sistema de información nacional” habrían sustraído los datos de dos o tres instituciones públicas.
Lo que evidencia que la filtración se habría dado desde dentro del régimen, concuerdan analistas entrevistados, al no haber existido un hackeo externo. Una opción es que un empleado o varios de las instituciones referidas con acceso a los datos vendieron la información a Novaestrat.
“Lo grave es que el usuario no falló, nunca hay que dejar de recalcar que el usuario debe ser precavido, pero en esta brecha que se detectó el usuario no tuvo nada que ver”, indica Daniel Tenorio, experto de seguridad de la empresa ESET.
El ministro de Telecomunicaciones, Andrés Michelena, aseguró, esta semana, que funcionarios públicos del “gobierno de Rafael Correa, quienes trabajaban en el sistema de información nacional” habrían sustraído los datos de dos o tres instituciones públicas.
Rafael Bonilla, profesor de la Escuela Superior Politécnica del Litoral, asegura que al Gobierno le compete investigar de manera urgente por qué estaban los datos en el servidor de Miami. “Como lo admitió en su momento el presidente Lenín Moreno, las instituciones públicas tienen un manejo antitécnico de la información”.
Novaestrat fue creada en 2017 por William Garcés Núñez y Agustín Martínez Pástor. El primero fue gerente en la Secretaría Nacional de Comunicación entre 2012 y 2013, y gerente en el Banco Nacional de Fomento, entre 2014 y 2016.
Martínez Pástor fue programador y analista de la Senplades, entre 2012 y 2015. Participó en la creación del Sistema Nacional de Información.
El sitio web de Novaestrat, hoy deshabilitado, ofrecía ayuda para la toma de decisiones con “información actualizada de todo el sistema financiero ecuatoriano”, como describía sus servicios, según ZDNet.
“El Estado debe garantizar un nivel mínimo de seguridad para los datos que se almacenan en las instituciones tanto públicas como privadas, esto se debe establecer en una ley”, dice Tenorio.
El Ministerio de Telecomunicaciones recién emitió en junio último una “Guía para el Tratamiento de los Datos Personales en la Administración Pública Central” y esta semana presentó el proyecto de Ley Orgánica de Protección de Datos Personales.
Para Alfredo Velazco, director de Usuarios Digitales, la cantidad de datos filtrados es de tal magnitud que se presta para cualquier tipo de acción. “Desde la comercialización abusiva hasta hacer incidencia en elecciones, pasando por delitos como suplantación de identidad, robo de cuentas, secuestros”, afirma.
Aunque es considerada la más grave de la historia, los ciudadanos no podrán confirmar fácilmente si están entre los perjudicados. “Según las autoridades la base fue limitada en su acceso desde el 11 de septiembre, por lo que nos quedan solo los detalles hasta que las autoridades permitan conocer la cantidad de personas que han sido afectadas”, señala Velazco.
“Se puede hacer una investigación forense en la infraestructura en donde se encontraba toda esa información y a partir de eso ver si hay alguna forma de medir o rastrear si se dejó alguna huella o alguna pista... pero es mera especulación”, indica Alejandro Varas, estratega digital.
Bonilla señala que con la información filtrada las organizaciones delictivas pueden crear el perfil de una víctima. “En el campo de la seguridad hay algo que se llama la ingeniería social, que es cómo llevar la estafa en la calle al plano digital. Esto se puede lograr con una explotación de una relación de confianza con mi víctima y una manera es haciéndole pensar que la conozco muy bien de años”, indica.
“Toda esta información nuestra que ya está disponible de manera pública desde antes de esta última filtración ya nos permite esto”, agrega.
Ya hay indicios de vulneraciones a sitios web nacionales. El Centro de Respuesta a Incidentes Informáticos del Ecuador reporta 277.259 casos de botnet desde el 2016, que consiste en infectar una red de equipos informáticos con software malicioso para tener su control remoto. Es la anomalía más registrada en el país.
