Funcionarios ecuatorianos arrestaron al gerente general de la firma consultora de TI Novaestrat luego de que los detalles personales de casi toda la población de la República del Ecuador quedaran expuestos en línea en lo que parece ser la violación de datos más importante en la historia del país.
Los registros personales de más de 20 millones de adultos y niños, tanto vivos como muertos, fueron expuestos públicamente en un servidor Elasticsearch no seguro por la empresa de seguridad vpnMentor, que hizo el descubrimiento durante su proyecto de mapeo a gran escala.
Para un país con una población de más de 16 millones de personas, la violación expuso detalles de casi todos los ciudadanos ecuatorianos, incluido el presidente Lenín Moreno y el CEO de WikiLeaks, Julian Assange , a quien se le dio asilo político en el país en 2012.
El servidor Elasticsearch no seguro, con sede en Miami y propiedad de la empresa ecuatoriana Novaestrat, contenía 18 GB de caché de datos que parecen provenir de una variedad de fuentes, incluidos registros gubernamentales, una asociación automotriz llamada Aeade y un banco nacional ecuatoriano llamado Biess.
La violación de datos expone datos personales de casi toda la población de Ecuador
Según los informes, el caché contenía todo, desde nombres completos, género, fechas y lugares de nacimiento, números de teléfono y direcciones, hasta estados matrimoniales, números de identificación nacionales (similares a los números de seguridad social), información de empleo y detalles de educación.
El caché también contenía información financiera específica relacionada con las cuentas mantenidas en el banco nacional ecuatoriano Biess, incluidos los estados de cuenta bancaria de la persona, los saldos actuales y el tipo de crédito, junto con información detallada sobre los miembros de la familia de las personas.
vpnMentor notificó al Centro Ecuatoriano de Respuesta a Incidentes de Computadoras (EcuCERT) de la violación, quien inmediatamente informó a Novaestrat, la firma de consultoría de datos en línea en la ciudad de Esmeraldas, propietaria del servidor no seguro, que luego fue desconectado el 11 de septiembre.
Autoridades Empresa investigadora presuntamente responsable de la fuga
Como parte de la investigación, los funcionarios ecuatorianos también dijeron en un comunicado el martes que habían arrestado al gerente de Novaestrat identificado como William Roberto G y confiscaron equipos electrónicos, computadoras, dispositivos de almacenamiento y documentación durante una redada en su casa.
Roberto fue llevado a la capital ecuatoriana, Quito, por las autoridades para ser interrogado y puede enfrentar cargos criminales.
Además, dadas las preocupaciones de privacidad que rodearon el incidente, el Ministro de Telecomunicaciones del país dijo que se tomarían acciones legales contra las instituciones afectadas para sancionar a las empresas privadas responsables de violar la privacidad y publicitar información personal sin autorización.
El Ministro de Telecomunicaciones también dijo que planea aprobar una nueva ley de privacidad de datos en el país, en la que han estado trabajando durante los últimos ocho meses, para proteger los datos personales de sus ciudadanos.
Esta no es la primera vez que el país ha sufrido una violación importante de seguridad de datos.
En 2016, los hackers lograron robar $ 12 millones de un banco ecuatoriano, Banco del Austro (BDA), al violar su sistema de pago Swift.
Sin embargo, la última violación de Ecuador recordó la mayor violación de datos de la historia de Bulgaria que tuvo lugar en julio de 2019 y expuso información personal y financiera de 5 millones de ciudadanos búlgaros adultos de su población total de 7 millones de personas, que es más del 70% de la población del país.
Fuente: thehackernews.com
