CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Base de datos ha sido eliminada tras exponer datos de millones de estadounidenses

Exclusiva: los datos expuestos incluían información sobre direcciones postales, niveles de ingresos y estado civil.

cybersecurity-hacking-4
Angela Lang/CNET

En un ejemplo más de una violación masiva a la privacidad de los usuarios, investigadores descubrieron que las direcciones independientes y los datos demográficos de más de 80 millones de hogares estadounidenses se encontraban hospedados en una base de datos no segura almacenada en la nube.

Los detalles enumerados incluyen nombres, edades y géneros, así como niveles de ingresos y estado civil. Los investigadores, liderados por Noam Rotem, no han podido identificar al propietario de la base de datos —la cual ya no está en línea. Parte de la información está codificada, como género, estado civil y nivel de ingresos. Los nombres, edades y direcciones no están codificados.

Los datos no incluyen información de pago o números de Seguro Social. Los 80 millones de hogares afectados representan más de la mitad de los hogares en Estados Unidos, de acuerdo con Statista.

"No me gustaría que mis datos se expusieran de esta manera", dijo Rotem en una entrevista con CNET. "[Esa información] no debería estar allí".

Rotem y su equipo verificaron la precisión de algunos datos en el caché, pero no descargaron los datos para minimizar la invasión de la privacidad de los que figuran en la lista.

Es un ejemplo más de un problema generalizado con el almacenamiento de datos en la nube, que ha revolucionado la forma en que almacenamos información valiosa. Muchas organizaciones no tienen la experiencia para proteger los datos que mantienen en los servidores conectados a Internet, lo que resulta en exposiciones repetidas de datos confidenciales. A principios de abril, un investigador reveló que la información del paciente de los centros de tratamiento para la adicción a las drogas estaba expuesta en una base de datos no segura. Otro investigador encontró un caché gigante de datos de usuarios de Facebook almacenados por compañías de terceros en otra base de datos que era públicamente visible.

A diferencia de un hackeo tradicional, no es necesario ingresar a un sistema informático para acceder a una base de datos que ha sido dejada expuesta. Simplemente necesitas encontrar la dirección IP, el código numérico asignado a cualquier página Web determinada. Sin embargo, no hay indicios de que ciberdelincuentes hayan accedido a la información de esta base de datos en particular.

Para la investigación, Rotem se asoció con VPNmentor, una compañía israelí que analiza productos de privacidad conocidos como VPNs y recibe comisiones cuando los lectores eligen uno que les gusta. En una entrada de blog publicada el lunes, la compañía llamó al público para que lo ayude a identificar quién puede poseer los datos para que puedan estar protegidos.

"Las 80 millones de familias enumeradas aquí merecen privacidad", dijo la compañía en su entrada de blog.

Rotem descubrió que los datos se almacenan en un servicio en la nube propiedad de Microsoft. Asegurar los datos depende de la organización que creó la base de datos y no de Microsoft. "Hemos notificado al propietario de la base de datos y hemos tomado las medidas necesarias para ayudar al cliente a eliminar esos datos hasta que sean debidamente asegurados", dijo a CNET un portavoz de Microsoft el lunes.

El servidor que albergaba los datos se subió a la Web en febrero, según Rotem, y lo descubrió en abril con herramientas que desarrolló para buscar y catalogar bases de datos no seguras. En enero, también encontró una falla de seguridad en un sistema de reservas de aerolíneas ampliamente utilizado, llamado Amadeus, que permitía que un atacante viera y modificara las reservas de las aerolíneas.

El caché de información demográfica incluye datos sobre adultos de 40 años o más. Muchas personas incluidas en la lista son personas de edad avanzada, lo que, según Rotem, podría ponerlos en riesgo por estafadores tentados a usar la información para tratar de defraudarlos.

Nota del editor: Este artículo fue actualizado el 29 de abril a las 12:16 p.m. hora del Pacífico de EE.UU. para agregar un comentario de Microsoft y más información sobre el equipo de investigación en ciberseguridad. El artículo también se actualizó para reflejar que la base de datos ha sido ya eliminada de la Web.