CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Estas personas quieren que tus datos más sensibles no queden expuestos en la Web

Investigadores en todo el mundo escarban los recovecos de Internet a la caza de datos expuestos. Pero no te preocupes, tienen buenas intenciones.

CNET

Justin Paine se sienta en un pub en Oakland, California, y se pone a la caza de sus datos más confidenciales en Internet. No le lleva demasiado tiempo encontrar una pista prometedora.

En su computadora portátil, abre Shodan, un índice de búsqueda de servidores en la nube y otros dispositivos conectados a Internet. Luego escribe la palabra clave "Kibana", que revela más de 15,000 bases de datos almacenadas en línea. Paine comienza a profundizar en los resultados, mientras un plato de pechugas de pollo y papas fritas se enfrían sobre su mesa.

"Esta es de Rusia. Esta es de China", dice Paine. "Esta está totalmente abierta".

Desde allí, Paine puede examinar cada base de datos y verificar su contenido. Una base de datos parece tener información sobre un servicio de habitaciones del hotel. Si sigue buscando más a fondo, puede encontrar números de tarjetas de crédito o pasaportes. Eso no es una exageración. En el pasado, Paine encontró bases de datos que contenían información de pacientes en un centro de tratamiento para drogadicción, así como registros de préstamos de bibliotecas y transacciones en sitios de apuestas en línea.

Paine forma parte de un ejército informal de investigadores de la Web que se entregan a una oscura pasión: buscar en Internet bases de datos no seguras. Las bases de datos (sin cifrar y a simple vista) pueden contener todo tipo de información confidencial, incluidos nombres, direcciones, números de teléfono, datos bancarios, números de la Seguridad Social y diagnósticos médicos. Si caen en las manos equivocadas, esos datos podrían ser explotados por fraude, robo de identidad o chantaje.

La comunidad de búsqueda de datos es ecléctica y global. Algunos de sus miembros son expertos en seguridad profesional, otros son meros aficionados. Algunos son programadores avanzados, otros no saben escribir ni una línea de código. Están en Ucrania, Israel, Australia, Estados Unidos y casi cualquier país que se te ocurra. Comparten un propósito común: estimular a los dueños de bases de datos para que protejan tu información.

La búsqueda de datos no asegurados es una señal de los tiempos que vivimos. En estos momentos, cualquier organización, empresa privada, organización sin fines de lucro o agencia gubernamental, puede almacenar datos en la nube de manera fácil y económica. Pero muchas herramientas de software que ayudan a poner las bases de datos en la nube dejan los datos expuestos de manera predeterminada. Incluso cuando las herramientas hacen que los datos sean privados desde el principio, no todas las organizaciones tienen la experiencia necesaria para saber que deben dejar esas protecciones en su lugar. A menudo, los datos simplemente se quedan allí, en texto y sin formato esperando a ser leídos. Eso significa que siempre habrá algo para que personas como Paine encuentren. En abril, investigadores en Israel encontraron detalles demográficos en más de 80 millones de hogares estadounidenses, incluidas direcciones, edades y nivel de ingresos.

Nadie sabe qué tan grande es el problema, dice Troy Hunt, experto en ciberseguridad que describió en su blog el tema de las bases de datos expuestas. Hay muchas más bases de datos no seguras que las publicadas por los investigadores, dice, pero solo puedes contar las que puedes ver. Además, las nuevas bases de datos se agregan constantemente a la nube.

"Es una de esas situaciones donde solo vemos la punta del iceberg", dice Hunt.

Para buscar bases de datos, debes tener una alta tolerancia al aburrimiento —y una todavía más alta para la decepción. Paine dijo que llevaría horas averiguar si la base de datos del servicio de habitaciones del hotel era en realidad un caché de datos confidenciales expuestos. Revisar las bases de datos puede aturdir la mente y tiende a estar repleto de pistas falsas. No es como buscar una aguja en un pajar; es como buscar campos de pajares enteros con la esperanza de que uno pueda contener una aguja. Además, no hay ninguna garantía de que los cazadores puedan avisar a los propietarios de una base de datos expuesta para solucionar el problema. A veces, el propietario amenaza incluso con acciones legales.

El premio gordo

cybersecurity-hacking-1

Tu nombre de usuario y contraseña podrían estar expuestos en la nube.

CNET

Las recompensas pueden ser muy emocionantes. Bob Diachenko, quien busca bases de datos desde su oficina en Ucrania, solía trabajar en relaciones públicas para una empresa llamada Kromtech, que supo por un investigador de seguridad que había sufrido una violación de datos. La experiencia intrigó a Diachenko y, sin ninguna experiencia, se lanzó a cazar bases de datos. En julio, encontró registros de miles de votantes estadounidenses en una base de datos insegura, simplemente usando la palabra clave "voter" (votante).

"Si yo, un tipo que no tiene ninguna experiencia técnica, pudo encontrar estos datos, cualquiera puede hacerlo", dice Diachenko.

En enero, Diachenko encontró 24 millones de documentos financieros relacionados con las hipotecas y banca de Estados Unidos en una base de datos expuesta. La publicidad generada por ese hallazgo, así como otros similares, ayuda a Diachenko a promover SecurityDiscovery.com, una empresa de consultoría en ciberseguridad que estableció después de dejar su empleo anterior.

Haciendo público el problema

Chris Vickery, director de investigación de riesgos cibernéticos en UpGuard, dice que los grandes hallazgos generan conciencia y ayudan a generar negocios de compañías que desean asegurarse de que sus nombres no estén asociados con prácticas descuidadas. Incluso si las empresas no eligen UpGuard, dijo, la naturaleza pública de los descubrimientos ayuda a que su campo siga creciendo.

A principios de este año, Vickery buscó algo grande en un "lago de datos" (data lake), un término que se usa para grandes compilaciones de datos almacenados en múltiples formatos de archivo.

La búsqueda ayudó a su equipo a hacer uno de los hallazgos más grandes hasta la fecha, un caché de 540 millones de cuentas de Facebook que incluía nombres de usuarios, números de identificación de Facebook y aproximadamente 22,000 contraseñas sin cifrar almacenadas en la nube. Los datos habían sido almacenados por compañías de terceros, no por Facebook.

Asegurando los datos

Facebook dijo que actuó rápidamente para eliminar los datos. Pero no todas las empresas son así de receptivas.

Cuando los cazadores de bases de datos no pueden hacer que una compañía reaccione rápidamente, a veces recurren a un escritor especializado en seguridad que usa el seudónimo Dissent. Esta persona solía cazar bases de datos no seguras, pero ahora pasa su tiempo incitando a las empresas a responder a las exposiciones de datos que otros investigadores encuentran.

"Una respuesta óptima es: 'Gracias por informarnos. Estamos asegurando [la base de datos] y notificamos a los pacientes o clientes y a los reguladores relevantes'", dijo Dissent, quien pidió ser identificada solo con su seudónimo para proteger su privacidad.

No todas las compañías entienden lo que significa la exposición de datos, algo que Dissent ha documentado en su sitio Web Databreaches.net. En 2017, Diachenko buscó su ayuda para reportar los registros de salud expuestos de un proveedor de software financiero a un hospital de la ciudad de Nueva York.

El hospital describió la exposición como un hackeo, a pesar de que Diachenko simplemente había encontrado los datos en línea y no tuvo que acceder ninguna contraseña o cifrado para verlos. Dissent escribió una entrada de blog explicando que una empresa contratada por el hospital había dejado la base de datos expuesta. Luego el hospital contrató a una empresa de tecnología para investigar todo esto.

Herramientas para bien —o para mal

Las herramientas de búsqueda que utilizan los buscadores de bases de datos son poderosas.

Sentado en el pub, Paine me muestra una de sus técnicas, que le ha permitido encontrar datos expuestos en bases de datos de Amazon Web Services y que, según él, fueron "hackeadas usando distintas herramientas". El enfoque provisional es necesario porque los datos almacenados en el servicio en la nube de Amazon no están indexados en Shodan.

Primero, Pain abre una herramienta llamada Bucket Stream, que busca registros públicos de los certificados de seguridad que necesitan los sitios Web para acceder a la tecnología de encriptación. Los registros permiten a Paine encontrar los nombres de los nuevos "depósitos" o contenedores de datos almacenados por Amazon y verificar si se pueden ver públicamente.

Luego usa una herramienta separada para crear una base de datos de búsqueda de sus hallazgos.

Para alguien que busca cachés de datos personales en los rincones más recónditos de Internet, Paine no muestra alegría ni consternación cuando examina los resultados. Esta es solo la realidad de Internet: está plagada de bases de datos que deben estar bloqueadas detrás de una contraseña y cifradas –pero no lo están.

Idealmente, las empresas contratarían expertos para hacer el trabajo que él hace, dice. Las compañías, dice, deberían "asegurarse de que sus datos no tengan fugas ni queden expuestos".

Si eso ocurriera más a menudo, Paine tendría que encontrar un nuevo pasatiempo, aunque podría ser difícil para él.

"Es un poquito como una droga", dijo, antes de finalmente clavar el diente a su pollo y papas fritas.