CNET también está disponible en español.

Ir a español

Don't show this again

'Startup' en Guatemala dejó expuesta por meses la información de miles de clientes

Durante meses, cualquier persona con acceso a la Web pudo ver información sensible de casi 19,000 clientes de Kingo, una empresa que ofrece energía solar prepago, en Guatemala y Sudáfrica.

La compañía, que ofrece dispositivos potenciados con energía solar para personas sin electricidad, almacena miles de datos en un servidor que hasta este mes pudo ser accesible por cualquiera.

Kingo

Miles de aldeas remotas en Guatemala y Sudáfrica viven sin electricidad, pero su información personal está a la luz de todo mundo.

Chris Vickery, investigador de seguridad principal del equipo de investigación de seguridad de MacKeeper, descubrió una base de datos sin protección hace unos dos meses accesible sin necesidad de usar una contraseña. Cualquiera que supiera que la base de datos estaba ahí, pudo tener acceso a más de 40 gigabytes de datos de clientes.

La base de datos, a cargo de la startup guatemalteca Kingo, ha expuesto la información personal de más de 18,800 clientes, tanto en su país de origen como en Sudáfrica.

Desde 2013, Kingo ha suministrado miles de sistemas de energía solar de prepago a personas de bajos ingresos que habitan en zonas remotas a donde no llegan los suministros de electricidad tradicionales. La compañía proporciona, posee y mantiene la tecnología de energía solar utilizada en cada hogar, y los clientes recargan su dispositivo con códigos de prepago que se compran en los distribuidores autorizados -- a menudo los miembros locales de la comunidad -- y se ingresan en cada dispositivo por el dueño de casa para encender bombillos o cargar sus teléfonos celulares durante períodos prolongados de tiempo.

Pero para llegar hasta ahí, los clientes deben inscribirse, proporcionando su documento oficial de identificación -- por lo general un documento nacional de identidad o pasaporte -- y firmar los contratos que rigen las condiciones del servicio, incluyendo el mantenimiento de los dispositivos y las reparaciones en caso de funcionamiento defectuoso.

Una vez que se registra un dueño de casa, todos los datos asociados a éste se almacenan y se registran en la plataforma de la compañía, conocida como Ant, un servicio en la nube que almacena toda la información asociada con los detalles de un cliente, contratos, uso de energía y las solicitudes de soporte, así como cualquier otro dato relevante.

Se cree que la base de datos Ant de la compañía se dejó abierta durante meses enteros.

Vickery compartió el acceso de la base de datos en cuestión con CNET en Español y nuestro sitio hermano ZDNet para verificar la autenticidad de los datos que fueron expuestos.

Cada uno de los 18,800 registros contenía el nombre completo del dueño de casa, su dirección y las coordenadas GPS exactas de su hogar, ocupación y número de teléfono celular (en algunos casos). De las decenas de registros que hemos examinado, cada uno tenía fotos al anverso y reverso de la tarjeta de identificación o documento nacional de identidad de cada cliente, incluyendo información personal como su edad, estado civil, sexo, número de identificación, nacionalidad, su lugar de nacimiento y su firma (solo en algunos casos, pues se estima que la cuarta parte de la población de Guatemala no sabe leer ni escribir).

identification-cards

Parte de la información que estuvo disponible en línea -- a la izquierda, un ID de un ciudadano en Sudáfrica y una de Guatemala.

Base de datos filtrada
leaked-guatemala-south-africa-identification

Two of the leaked identification cards -- on the left, a South African ID, and a Guatemalan ID on the right. (Image: leaked database)

Una serie de fotos se adjuntan a cada registro. Cada registro del cliente que hemos revisado incluía una foto de la casa de la persona, así como el equipo en préstamo (por ejemplo, un generador solar de prepago de Kingo). La base de datos también contiene una copia del contrato firmado por el dueño de casa. En muchos casos, una huella digital se utiliza en lugar de una firma.

Vickery dice que el libre acceso a la base de datos constituye un "fraude de identidad masiva a punto de ocurrir."

Solo uno de cada cuatro guatemaltecos y alrededor de la mitad de la población de Sudáfrica tienen acceso al Internet, por lo que es prácticamente seguro afirmar que la mayoría de los afectados jamás leerán este artículo. Esta desventaja pone a dos grupos ya de por sí vulnerables en mayor riesgo de ser víctimas de la delincuencia.

Renata Ávila, abogada de derechos humanos y de tecnología con un profundo conocimiento de la región, está muy familiarizada con los riesgos que corren las personas en las comunidades rurales de Guatemala.

"Considero esta negligencia ... un error épico, irresponsable", dijo a CNET en Español en un correo electrónico, después de informarle acerca de la violación. "Me pregunto cuántas personas son tan negligentes con los datos personales de los marginales".

guatemala-house

Fotos de las casas hechas por personal de Kingo también aparecían en la base de datos que fue expuesta en la Web.

house-in-database

Photos of homes were also taken by Kingo staff, and were stored in the database. This is one example. (Image: leaked database)

Avila describió, por ejemplo, cómo los carteles de la droga y otros criminales tienen su apogeo en sitios en los que la energía eléctrica escasea.

"El tener las coordenadas exactas de sus casas, así como las fotos de los hogares y las personas que viven en un área determinada... eso es algo realmente peligroso y algo de lo que se puede abusar con facilidad", dijo Ávila. Han habido numerosos casos bien documentados en años recientes en donde violaciones a los derechos humanos han sido relacionadas con intereses empresariales en la región.

"La lucha por los recursos rurales también es problemática: imagínate si la empresa minera a la que te opones sabe exactamente dónde vives?", dijo. "Sería muy diferente si los detalles expuestos fueran de los oligarcas ricos".

Y pensar que otros no encontrarían los datos es ingenuo. Encontrar a una base de datos abierta como la de Kingo podría parecer difícil, dado el tamaño del Internet, pero se encuentran con facilidad para aquellos que saben dónde buscar. Especialistas en motores de búsqueda como Shodan.io pueden ayudar a mejorar las búsquedas de webcams, sistemas y bases de datos sin protección con solo entrar en la Web.

Las consecuencias que Kingo podría enfrentar de las secuelas de esta filtración de datos difieren enormemente de lo que muchos occidentales esperarían. Guatemala, por su parte, no tiene un marco de protección de datos del que se pueda hablar, dice Ávila.

Y sin embargo, la situación es muy similar en Sudáfrica, donde la compañía tiene una presencia más pequeña, pero importante, a pesar de haber un mayor esfuerzo por parte del gobierno para impulsar leyes más estrictas de protección de datos.

La legislación más reciente de Sudáfrica, introducida en 2013, da a los individuos el derecho de saber cómo se recopilan, usan y almacenan sus datos y define quién es responsable de dichos datos. Cualquier persona encontrada violando la ley o no protegiendo los datos del cliente puede recibir una multa de hasta 10 millones de rands (unos US$694,000) o incluso ir a la cárcel.

Después de informar a la compañía acerca de la filtración, Vickery confirmó que la base de datos de Klingo ha sido ya asegurada con una contraseña. Pero tomó casi una semana para que la compañía respondiera, luego de hacer un primer intento de contacto con ellos.

Un portavoz de Kingo dijo el lunes que había "tomado acción inmediata para asegurar la información [en su base de datos]".

"Como startup, estamos constantemente cambiando para poder tener sistemas de información mejores y más confiables", dijo la compañía en un comunicado enviado por correo electrónico. "Esta es la razón por la que agradecemos su contribución acerca del problema reportado con nuestra base de datos. Hemos tomado acción inmediata para asegurar nuestra información. Vamos a invertir en los recursos necesarios para garantizar la privacidad y la información personal de nuestros clientes".

Pero en momentos en que la protección de los datos no es una prioridad en la agenda política de Guatemala, con tantos otros asuntos pendientes, compañías como Kingo no tienen incentivos de mejorar su seguridad.

O, como lo expone Ávila: "Francamente, en un país en donde hay miles de asesinatos cada año, el robo y la filtración de datos no son una prioridad".


Este artículo apareció originalmente en ZDNet, sitio hermano de CNET y CNET en Español.

Con la colaboración de Laura Martínez.

Close
Drag
Autoplay: SI Autoplay: NO