El pasado lunes, la compañía de seguridad informática vpnMentor y el sitio web especializado ZDNet hicieron pública una filtración de datos masiva que involucró a cerca de la totalidad de los ciudadanos ecuatorianos. Luego de esto, el Gobierno inició una investigación, detuvo a un ejecutivo de la empresa Novaestrat y envió un proyecto de ley de protección de datos personales a la Asamblea Nacional de Ecuador.
De acuerdo a lo informado, dos investigadores de vpnMentor -Noam Rotem and Ran Locar- descubrieron una base de datos alojada en Miami (Florida, Estados Unidos) que contenía 18 GB de información sensible perteneciente a unas 20.8 millones de personas (el país sudamericano tiene una población estimada de 16 millones de habitantes). Los datos se encontraban en un servidor inseguro y sin contraseña, propiedad de la compañía Novaestrat (una consultora que provee servicios de análisis para el mercado ecuatoriano).
Dentro de lo expuesto se encuentran datos de identidad básicos, números de cédula de identidad, de teléfono, registros familiares, fechas de matrimonio, historias educativas y registros de trabajo, tanto de mayores como de menores de edad. En algunos casos también se incluían datos financieros. En cuanto a la procedencia de esto, los investigadores determinaron que una parte tenía un origen privado (proveniente del Banco del Instituto Ecuatoriano de Seguridad Social y de la Asociación de Empresas Automotrices del Ecuador) y otra, público (obtenida del Registro Civil).
Según el reporte, la información se encontraba actualizada a 2019, aunque parte de ella estaba duplicada o pertenecía a personas fallecidas. De aquí que el número de ciudadanos involucrados superase a la población total del país. Como curiosidad, ZDNet señaló: «Pudimos encontrar datos del presidente e incluso de Julian Assange, quien recibió asilo político y a quien le entregaron una cédula de identidad».
Los investigadores intentaron comunicarse con la empresa aparentemente dueña de la base de datos pero no pudieron localizarla. De todas formas, el agujero de seguridad fue solucionado el pasado 11 de septiembre (antes de su publicación), luego de que vpnMentor se comunicara con el Centro de respuesta a incidentes informáticos de Ecuador, que ofició de intermediario.
Esta es una de las filtraciones más grandes -si no la mayor- sufrida por la nación latinoamericana. El presidente Lenín Moreno aseguró en su cuenta de Twitter que instruyó a dos de sus ministros para que informen públicamente las novedades del caso, al tiempo que envió un un proyecto de ley de protección de datos personales a la Asamblea Nacional.
Además, en una conferencia de prensa brindada el mismo día de la publicación de la noticia, ministros ecuatorianos aseguraron que Novaestrat no debería haber tenido estos datos. Por eso, iniciaron una investigación bajo los cargos de violación de la privacidad y diseminación de información personal sin autorización. «Aun están analizando cómo consiguieron tantos datos sensibles, aunque aseguraron que la compañía no hackeó ni explotó ninguno de los servidores del gobierno de Ecuador. Creen que el acceso pudo haber sucedido durante el régimen político anterior (2015-2017), ya que fue beneficiada con varios contratos gubernamentales», precisó ZDNet.
El martes, las autoridades ecuatorianas arrestaron a William Roberto G., representante legal de Novaestrat, e incautaron equipos electrónicos, dispositivos de almacenamiento y documentación. Él y el presidente de la compañía, Agustín M., declararon (según un comunicado de la Fiscalía) acerca de «las relaciones comerciales de la empresa y los procesos en sus negocios».
La magnitud de la filtración es directamente proporcional a las consecuencias negativas que podría tener. Es que han estado disponibles demasiados datos personales de prácticamente toda la población, lo que significa que quien se haya hecho con ellos tiene a su disposición todo lo que necesita para llevar adelante estafas telefónicas, phishing, robo de identidad, fraude financiero, espionaje empresarial y más. «Una vez que la información fue expuesta, no se puede volver atrás», concluyeron desde vpnMentor.
Otrawebdetecno 