Análisis de la filtración de Novaestrat | Centro de Autonomía Digital

September 28, 2019

El 16 de septiembre, ZDNet, en colaboración con vpnMentor, publicó un artículo que muestra que 20.8 millones de registros de usuarios, incluyendo casi la población completa de Ecuador fue expuesta públicamente en una base de datos a la que cualquier persona en Internet podía acceder. En los días siguientes, más información se ha hecho pública, se han iniciado investigaciones, se han tenido discusiones, pero algunas preguntas no se están respondiendo y la respuesta gubernamental parece enfocada principalmente en verse fuerte, sin necesariamente tomar medidas efectivas.

En este artículo, nos gustaría analizar esta pérdida de datos, entender lo que significa, el impacto que puede tener, qué tipo de acciones podrían haberse tomado para evitarlo, y qué se debe hacer para avanzar. Abordaremos también la ley ecuatoriana de protección de datos que actualmente se debate intensamente.

La información de este artículo se basa únicamente en datos disponibles públicamente sobre la filtración, combinada con nuestra larga experiencia técnica en los campos de seguridad y privacidad.

El objetivo de este artículo no es atacar a ninguna persona o entidad, sino tratar de aportar claridad a este evento desde una perspectiva técnica. Esta claridad es necesaria para que nosotros, como sociedad, manejemos mejor este tipo de incidentes en el futuro. Antes de que podamos discutir soluciones, tenemos que entender claramente lo que pasó.

Línea de tiempo

Según la información actual, así es como se ve la línea de tiempo de los eventos pertinentes:

En algún momento después de diciembre de 2017 - la información en la base de datos fue creada o actualizada.¹
En algún momento antes del 1 de abril de 2019, la base de datos se puso a disposición del público.²
En algún momento antes del 7 de septiembre de 2019: vpnMentor encuentra el problema e intenta ponerse en contacto con Novaestrat sobre los datos disponibles públicamente.³
7 de septiembre de 2019 - vpnMentor contacta a EcuCERT y les informa sobre el problema.⁴
11 de septiembre de 2019 - el gobierno de Ecuador es informado oficialmente del problema, siguiendo el protocolo.
Algún tiempo después del 15 de septiembre de 2019, la base de datos se hizo privada o se eliminó.
16 de septiembre de 2019: se publicó el artículo inicial sobre ZDnet, que dio a conocer públicamente la filtración.
16 de septiembre de 2019: los oficiales de Novaestrat son allanados y detenidos para ser interrogados por la fiscal general.
17 de septiembre de 2019: liberan a los oficiales de Novaestrat.

Como está claro, hay varias cosas sobre esta línea de tiempo que son preocupantes. Lo más importante, el hecho de que la base de datos estaba disponible desde abril. También es problemático que pasaran al menos 8 días desde el informe inicial al gobierno de Ecuador hasta que se cerró el servidor. Con este tipo de vulnerabilidad y datos en juego, cada día cuenta.

No está claro cuándo se cerró la violación. Según la publicación del blog vpnMentors, el problema se cerró el 11 de septiembre de 2019. Sin embargo, según los datos de Shodan, el puerto ElasticSearch todavía estaba abierto al público hasta el 15 de septiembre de 2019. Esta información hace que sea más difícil saber qué perspectiva es correcta y cuándo se cerró realmente la brecha.

Los datos

Lo que hace que esta filtración sea bastante única es la cantidad de datos filtrados, combinada con la proporción de la población cubierta por esta fuga de datos. Todavía no sabemos exactamente qué información contiene la filtración, ya que vpnMentor ha mencionado que no han hecho público todos los tipos de información que se puede encontrar en la base de datos.

La base de datos contenía aproximadamente 20.8 millones de registros de usuarios. Estos incluyen algunas entradas duplicadas, entradas antiguas y entradas para individuos fallecidos. También contiene información de 2019, lo que implica que los datos se han actualizado continuamente. 6.77 millones de entradas corresponden niños menores de 18 años.

Para todas las entradas, estos datos incluyen el nombre del individuo, la cédula (el número de identificación ecuatoriano), el lugar de nacimiento, el domicilio, el género e información familiar. También contiene direcciones de correo electrónico, números de teléfono, información sobre estado civil y nivel de educación. En el caso de las personas con empleo, existe información sobre el empleador, título del trabajo, información salarial y cuándo comenzó y terminó el empleo. Está implícito que esta información es histórica, así como también actual.

Para aproximadamente 7 millones de personas, también incluye información bancaria de BIESS, el banco de seguridad social del gobierno ecuatoriano. Entre los datos constan el estado de la cuenta, saldo actual, monto financiado, tipo de crédito e información sobre qué sucursal está usando el individuo.

También hay 2.5 millones de entradas sobre automóviles y propietarios de automóviles, incluida información como el número de placa, marca, modelo, fecha de compra, información de registro y otra información de carácter técnico. También contiene el número de contribuyente vinculado al automóvil, de modo que cada vehículo se puede vincular con su propietario.

También hay información sobre empresas, incluido su número de registro de impuestos (RUC), información de contacto, dirección y representante legal.

vpnMentor ha declarado que la base de datos contiene más información que la arriba mencionada. Sin embargo, no han divulgado este tipo de información porque es sensible. Esto es extremadamente extraño. Ni siquiera han hablado sobre el tipo de información de la cual están hablando. Eso es algo que podrían decir sin revelar ninguna instancia específica de esa información. El hecho de que no están dispuestos a revelar el tipo de la información que existe implica que la existencia misma de esta información es extremadamente sensible. Desde un punto de vista puramente especulativo, esto podría involucrar información relacionada con algún tipo de investigación criminal abierta o tal vez algún tipo extremo de medida invasiva gubernamental.

Impacto

Una fuga de esta magnitud, con este tipo de datos, es extremadamente grave. Mirando el análisis actual del servidor de Novaestrat en cuestión, está claro que esta compañía no ha invertido muchos recursos en asegurar su infraestructura. Dado que los datos en cuestión podrían haber estado disponibles desde al menos el 1 de abril de 2019, es muy probable que todo el volcado de datos haya estado disponible para la venta en redes delincuenciales clandestinas por una cantidad significativa de tiempo. Tenemos que asumir que todos los datos están disponibles. Esto también explica la problemática decisión de no especificar qué tipos de datos se sospecha han sido filtrados, ya que entonces los atacantes tendrán estos datos, pero la población ecuatoriana en realidad no sabe lo que estos tienen.

¿Cuáles son los riesgos de esto? Alguien con esta clase de datos puede hacer muchos tipos de cosas. Muchas corporaciones podrían usar estos datos para hacer análisis de posibles objetivos de ventas. Esta información también es muy similar al tipo que las redes de ventas recopilan para personalizar anuncios publicitarios. La información se puede utilizar para campañas de phishing por teléfono y correo electrónico, tratando de convencer a la gente de que haga clic en los enlaces o ponga sus contraseñas en sitios web hostiles. También se puede usar para intentar descifrar activamente contraseñas o restablecer claves en sitios web que le permiten restablecer contraseñas utilizando información personal.

Se espera una actividad criminal más abierta, como diferentes tipos de fraude, a gran escala. Esta información puede ser potencialmente utilizada para obtener acceso a las cuentas bancarias de personas u otros tipos de información privada. No es imposible que se puedan usar para solicitar tarjetas de crédito de manera fraudulenta y luego las sobregirarlas masivamente.

El artículo inicial también mencionaba la posibilidad de utilizar esta información para la focalización. Al identificar a las personas con altos ingresos, estos datos también brindarían información sobre su dirección y número de teléfono, lo cual facilitaría su identificación para el robo, el hurto o el secuestro.

Una filtración de esta magnitud, con este tipo de datos que cubren una población tan grande, sin duda conducirá a una proliferación de empresas criminales. Es probable que el costo para la población ecuatoriana esté en el rango de miles de millones de dólares en los próximos años debido a esta fuga.

¿De dónde provienen los datos?

Cuando se trata de este tipo de filtración, la primera pregunta es de dónde provienen los datos. Esta empresa, Novaestrat, es una compañía privada que aparentemente trabaja para proporcionar servicios de análisis al mercado ecuatoriano. No está claro exactamente qué significa eso y quiénes son sus clientes.

Los datos en sí mismos parecen provenir de varias fuentes diferentes, incluido el Registro Civil ecuatoriano, el BIESS (Banco del Instituto Ecuatoriano de Seguridad Social), AEADE (una ainstitución que al parecer lleva registro de la propiedad de automóviles), la secretaría de educación superior, el SRI y la Agencia Nacional de Tránsito. Es posible que haya más fuentes de información, y es posible que estas no sean la fuente original de la cual provienen los datos.

Lo que está claro es que la mayoría de estos datos no pertenecen a una entidad privada. Mucho de esto es altamente sensible, y poniendo todos los datos en conjunto, es posible pintar una imagen extremadamente detallada de toda la población ecuatoriana.

Algunas fuentes afirman que la información fue vendida por estas entidades públicas a Novaestrat, y que hay contratos que muestran estas compras. Saber si es posible que una entidad del gobierno público venda acceso a bases de datos privadas como estas, hasta ahora es muy poco claro. Varios informes afirman que ninguna intrusión informática es la fuente de los datos. En ese caso, eso dejaría la puerta abierta para considerar ventas legales de los datos, o algún tipo de corrupción.

Varios informes gubernamentales han afirmado que esta venta de datos puede atribuirse al gobierno anterior. Sin embargo, el gobierno actual ha estado vigente desde 2017, y dado que los últimos datos son de 2019, no está claro cómo se podría culpar al gobierno anterior por esta situación.

¿Qué se pudo haber hecho?

Hace unos días, publicamos un artículo sobre cómo las organizaciones pueden evitar fugas masivas en general. Sería apropiado para una entidad como Novaestrat tomarse en serio las recomendaciones y consejos en ese artículo . A partir de escaneos públicos de la dirección IP en cuestión, queda claro que que la seguridad IT no es la mayor preocupación de este empleador.

Es claro que Novaestrat no debería haber tenido estos datos en primer lugar. Cualquier entidad que venda datos tiene la responsabilidad de asegurarse de que los datos van a ir a un lugar donde serán atendidos adecuadamente. Asumiendo que la venta de todos estos datos fue de hecho, legal y correcta,, el vendedor aún debería haber impuesto condiciones sobre cómo se aseguraron y administraron los datos.

Si Novaestrat no tenía acceso legal a estos datos, se abren las preguntas sobre cómo ocurrieron realmente las transferencias. Las instituciones que son responsables de administrar estas bases de datos desde su origen deben hacer una revisión exhaustiva de sus políticas y prácticas para asegurarse de que este tipo de fuga de datos no vuelva a suceder. Es probable que sea necesario que se realicen investigaciones y procesos legales separados contra cada una de las fuentes de datos para descubrir cómo se filtraron los datos en primer lugar.

Como se trataba de un problema muy grave y, cada día cuenta en este tipo de situación, parece ser un problema que al gobierno ecuatoriano le tomará algunos días antes de reaccionar. Las discusiones sobre este tema parecen implicar que la razón por la que se retrasaron fue porque no podían verificar quiénes eran las personas que denunciaban la vulnerabilidad. Pero cuando se trata de proteger a la población ecuatoriana, el primer paso debe ser verificar si la vulnerabilidad es real. Quien informa el problema no es relevante cuando se trata de este primer paso. Entonces, retrasar en varios días la reacción por este motivo, parece irresponsable y estos protocolos deberían revisarse.

¿Qué debe hacerse?

Cuando ocurre un incidente como este, proteger a las personas involucradas debería ser la prioridad número uno. Después de eso, las investigaciones y posibles asignaciones de culpa pueden tener lugar. Para el pueblo ecuatoriano, lo primero que debería hacerse es establecer un servicio que permita a las personas ver si se vieron afectadas por la fuga y qué tipo de información sobre ellos se filtró. Una vez hecho esto, los procedimientos para proteger a la población deben ser establecida.

El problema con este tipo de fuga es que la mayoría de los datos no son algo que pueda cambiar. Idealmente, todas las personas en Ecuador deberían cambiar sus nombres legales, los nombres de sus padres e hijos, su cédula, lugar de trabajo, salario, automóvil, información de cuenta bancaria y mucho más. Obviamente eso no es de ninguna manera realista. Eso significa que el tipo de ataques que discutimos anteriormente seguirá siendo posible durante muchos años.

Hay algunas formas de mitigar estos riesgos. Las personas pueden ser más cuidadosas cuando reciben correos electrónicos y llamadas telefónicas. Las instituciones deberían revisar sus procedimientos internos sobre cómo autentican a clientes. El gobierno ecuatoriano debería instituir una política de aseguramiento para todos los afectados por esta violación, que ayudará cuando alguien esté sujeto a robo de identidad, fraude u otro tipo de ataque.

Pero, la triste realidad es que es difícil o incluso imposible protegerse contra la mayoría de los próximos ataques. El gato está fuera de la bolsa.

Con referencia a la investigación, el primer objetivo debe ser entender cómo sucedió esto, para que estos problemas puedan evitarse en el futuro. Esto implica comenzar investigaciones en los lugares donde podemos encontrar la información más útil. Pero no con el objetivo de encontrar culpables. Investigar a Novaestrat es ciertamente una parte importante, pero también es importante investigar a las organizaciones que mantenían relaciones comerciales con Novaestrat y también las entidades públicas de donde provenía esta información. Sin estas investigaciones será difícil determinar cómo evitar que esto vuelva a suceder.

Ley de protección de datos

Inmediatamente después de que esta filtración se hiciera pública, el gobierno anunció estar trabajando en una ley de protección de datos y que están próximos a presentarla a la Asamblea Nacional. Aparentemente han estado trabajando en esto durante los últimos 8 meses.

Si bien tener leyes sólidas de protección de datos es extremadamente importante, y sería bueno para Ecuador avanzar en este tema, enviar el proyecto de ley, la misma semana en que se anunció una gran filtración no es el momento adecuado para hacerlo. La legislación dura mucho tiempo y tiene muchas repercusiones para la sociedad. Cuando ocurre un incidente, el instinto es que los políticos quieran parecer fuertes y usarlo como un momento para impulsar su propia agenda. Pero esto no ayuda a la población.

Si Ecuador realmente quiere tener las herramientas legales necesarias para detener este tipo de problemas en el futuro, es importante que todos se tomen su tiempo para trabajar en esta legislación. No debe ser un proceso apresurado. Es necesario que haya un debate en donde la sociedad civil, las empresas privadas y la población en general estén involucradas. La protección de datos es un tema enormemente complejo, y hacerlo bien no es trivial. Entonces, aunque la necesidad de empujarlo ahora mismo es muy fuerte, nuestra recomendación es tomarse el tiempo para evaluarlo con la cabeza fría. El futuro del país será mejor haciéndolo bien.

Un tema relacionado es la decisión del gobierno para unificar todos los datos públicos bajo un mismo servicio gubernamental, CNT. Si bien esto en teoría puede conducir a una mayor seguridad, si la organización en cuestión sabe cómo administrar los datos correctamente, esa no es la única posibilidad. En algunos casos no hace la diferencia y, a veces, tener todos los datos en el mismo lugar, conduce a un gran objetivo, en lugar de muchos más pequeños.

Conclusiones

Cuando ocurre una fuga de esta magnitud, a veces es difícil comprender todos los ángulos. Es fácil sacar conclusiones y omitir aspectos de la historia. Pero eso significa que podríamos no tener la información que necesitamos para tomar decisiones informadas y adecuadas basadas en un evento como este.

En esta publicación hemos tratado de resumir los aspectos de este caso, cuáles son las implicaciones y cuáles son algunas de las lecciones para el futuro. Este es un tema importante, y debemos continuar las discusiones. Pero tenemos que hacer eso con toda la información disponible.

Anexo

El martes 24 de septiembre, después de que se escribió este artículo, pero antes de que se publicara, Ran Locar y Noam R de vpnMentor anunciaron que los mismos datos de la filtración en cuestión se habían encontrado en manos de otra organización, la misma que estaba vendiendo suscripciones a los datos que, habrían sido actualizados en agosto de 2019. Durante el día, se mencionaron varios sitios web en los que se podían encontrar los mismos datos o datos similares de manera pública. No está claro si todos estos se refieren a la misma recopilación de datos, o si se trata de más de una organización además de Novaestrat que tendría acceso a la información.

El equipo de vpnMentor agregó que la seguridad informática de la organización en cuestión fue vulnerada en enero de 2019. Es claro que debemos asumir que todos los datos en estas compilaciones siguen estando disponibles.

Con base en estas noticias, podemos deducir que a más de una organización se le vendió o se le dio acceso a estos datos de alguna manera, y que este acceso continuó hasta al menos agosto de 2019. También sabemos que los datos están en manos de organizaciones o grupos criminales. Esto significa que la información está ahí afuera, será utilizada y es demasiado tarde para volver a poner al gato en la bolsa. El objetivo actual debe ser la mitigación, brindar ayuda a los ciudadanos y finalmente detener el flujo adicional de datos.

Referencias

Sabemos esto porque la base de datos contiene información sobre Julian Assange, cuya ciudadanía se registró en algún punto de diciembre del 2017. Según el artículo, la base de datos también contiene información de 2019, por lo que es probable que las actualizaciones continuaron después de diciembre del 2017.
Esto puede deducirse utilizando la función de historial de Shodan a través del API para desarrollador. Dando un vistazo a 207.246.114.186, se concluye que la primera vez que Shodan registró el puerto 9200 (que es el puerto ElasticSearch) fue el 1 de abril de 2019. Esto no quiere decir que el puerto no podría haber estado abierto antes, sólo que era la primera vez que Shodan lo veía.
El artículo original (16 de septiembre) afirma que el servidor fue descubierto dos semanas antes, en algún momento del 12 de septiembre. Informes posteriores afirman que el servidor fue descubierto el 6 de septiembre. El artículo también menciona que intentaron contactar a Novaestrat. Otros artículos mencionan que vpnMentor sólo contactó a EcuCERT después de no poder comunicarse con Novaestrat. vpnMentor afirma que ellos estaban haciendo un “escaneo ético” de internet, algo que no es inusual o sospechoso. De hecho, muchas empresas de seguridad hacen el mismo tipo de trabajo regularmente.
Como se puede leer en la entrevista de El Comercio con Arcotel (enlace en referencias).