Por: Carolina Botero Cabrera

¿Qué podemos aprender de la filtración de datos en Ecuador?

Novaestrat, una empresa ecuatoriana de marketing, expuso datos de más de 20 millones de personas en Ecuador, informó ZDNet. La empresa de seguridad digital israelí vpnMentor buscaba vulnerabilidades en la red y se encontró con que el servidor de Novaestrat estaba desprotegido, permitiendo que cualquiera sustrajera esta información.

ZDNet informa que los datos superan el censo poblacional del país, porque incluyen personas que ya murieron y están tan actualizados que hay datos de bebés nacidos hace tan solo unos meses. Los datos filtrados son de fuentes públicas y privadas. Había una base de datos del registro civil de las personas, otra de datos financieros de uno de los bancos más importantes del país, la de propiedad de vehículos e incluso una carpeta con los datos de quiénes componen los núcleos familiares.

La noticia tiene varios ángulos extremadamente preocupantes. ¿Cuál es el rol del marketing en nuestra sociedad y su relación con los datos? ¿Cómo obtuvieron estas bases de datos? ¿Qué podrían hacer con esta información personas malintencionadas? ¿Por qué dicen que fue un descuido de la empresa? ¿Cómo lo hubieran podido evitar? Pero hoy me gustaría que piensen en esta pregunta: ¿qué se puede aprender de esto para la política pública de un país?

Aunque el imaginario colectivo pinta a una persona hacker como aquella que usa su conocimiento en tecnología para hacer daño —irrumpir en los sistemas, sacar información de otras personas y aprovecharla—, la verdad es que la mayor parte de ellas usan sus conocimientos para protegernos de esos riesgos. Es decir, que un policía haga parte de una banda de jaladores de carros no significa que todos los policías sean ladrones. Igualmente, la gran mayoría de los hackers no son criminales.

Una persona hacker puede trabajar en seguridad digital para una organización o como auditora externa para probar que las medidas tomadas funcionen. También puede trabajar indagando y poniendo a prueba por su cuenta las medidas de seguridad adoptadas, porque le parece interesante o porque espera ganar una recompensa si encuentra algo. Contribuir a que los servicios que utilizamos sean mejores es algo que en el mundo analógico hacemos constantemente como simples observadores o incluso en forma organizada desde la sociedad civil. Piensen, por ejemplo, que a nadie le sorprende que la gente quiera conocer y verificar los esquemas de seguridad y medidas adoptadas para proteger las urnas en unas elecciones.

Las pruebas que hacen los hackers pueden ser de simple observación, revisando lo que está a la vista de cualquiera (protocolos, cookies, políticas, etcétera), o interactuando con el sitio dentro de los espacios dispuestos para eso (formularios, chats, etcétera). También pueden usar metodologías de penetración, “pentest” en inglés, frecuentes en el hacking ético, que suponen intentar ingresar activamente en el sistema.

Cuando gracias a estos ejercicios un hacker encuentra vulnerabilidades, actúa de acuerdo con un protocolo que en muchos casos ya es estándar para las compañías de tecnología: debe avisar al responsable para que arregle el problema, y luego publicar con el fin de que otros aprendan y corrijan. Hay varios protocolos y varias formas de publicar en lo que se suele llamar divulgación coordinada de vulnerabilidades.

Ahora bien, como esta actividad supone exponer errores en un tema tan delicado, empresas y países suelen odiarla y su primera reacción es prohibir, criminalizar y tratar de evitarla. Con el tiempo, se han dado cuenta de que es mejor aceptarla e incluso crear mecanismos para promoverla. Esto ayuda a asegurar que el responsable de los datos sea el primero en enterarse y en corregir, y puede servir para participar en el proceso de publicación y aprendizaje. Un ejemplo es la evolución que ha tenido lugar en el Departamento de Defensa de los EE. UU. con su programa Hack the Pentagon.

En el caso ecuatoriano, vpnMentor hizo su investigación, estableció el nivel de exposición de esta información, buscó reportar el problema a la empresa responsable y —ante la imposibilidad de contactarla— lo reportó al ente encargado de la seguridad digital en el país (el CERT). Finalmente, publicó con el apoyo de periodistas lo que encontró.

Desde hace varios años en Karisma, donde trabajo, sabemos de las dificultades que hay en Colombia para reportar vulnerabilidades. Nos lo ha contado múltiples veces la comunidad técnica del país. Primero, intentamos explicar a las autoridades la importancia de crear rutas para reportar vulnerabilidades, pero el terreno no era fértil. Iniciamos entonces un pequeño proyecto para revisar la seguridad de los sitios web y de aplicaciones del Estado, y reportar nuestros hallazgos.

No usamos técnicas de penetración, sino mecanismos de observación y revisión de los elementos visibles y de los flujos de datos que se generan, por ejemplo, en los instrumentos de contacto e intercambio de información de las plataformas. Hicimos ejercicios para sitios como el de reportes de IMEI, el de la Unidad de Protección de Víctimas, el de la DIAN y, más recientemente, para Tullave (pendiente de publicar). Construimos nuestra metodología, elegimos los protocolos, hicimos las investigaciones, presentamos los informes a las autoridades —con diferentes grados de dificultad, hasta crear un canal con el Mintic—, pedimos información de las correcciones y publicamos resultados. Hacemos todo eso cuidando la información sensible del proceso.

Fruto de estos ejercicios, evidenciamos los problemas que tienen las personas hackers e investigadoras que hacen esto. Y, ahora sí, logramos sensibilizar al Gobierno y a las autoridades sobre el problema de la falta de canales oficiales para comunicar vulnerabilidades y cómo estos ejercicios han tenido impactos positivos. Esperamos que esta experiencia se retome en la revisión y actualización del Conpes de seguridad digital para que Colombia cuente con un canal confiable y adecuado para que cualquier persona pueda reportar vulnerabilidades que ayude a mejorar la seguridad digital de todas las personas. En Karisma tenemos una propuesta, que muy pronto estaremos dando a conocer, para que esto sea posible; estén pendientes.

Si un mecanismo así existiera en Colombia, y acá sucediera algo como lo que pasó en Ecuador, la experiencia sería distinta y mejoraría la capacidad del Estado, y por tanto de la sociedad, para reaccionar.

883160

2019-09-27T00:00:10-05:00

column

2019-09-27T00:15:02-05:00

jrincon_1275

none

¿Qué podemos aprender de la filtración de datos en Ecuador?

62

7675

7737

 

Buscar columnista

Últimas Columnas de Carolina Botero Cabrera