Las filtraciones de datos son frecuentes en la escena digital, producto de intrusiones en las infraestructuras de empresas, organizaciones y dispositivos de individuos. En ocasiones, también ocurren porque los propios administradores de los sistemas no siguen buenas prácticas en ciberseguridad, dejando al descubierto información que debería ser confidencial.
Leé también: El curioso ataque informático de “Las chicas superpoderosas”: un DVD infectado que causó estragos
El reciente incidente en el centro de adopciones Gladney, de Texas, en Estados Unidos, es uno de esos casos. Un investigador especializado en seguridad informática reveló que esa entidad sin fines de lucro dejó expuesta una cuantiosa base de datos, con 1.1 millones de registros privados, eventualmente afectando a chicos, familias y a sus empleados.
Un centro de adopción en EE.UU., en el ojo de la tormenta por exponer datos de los nenes
El responsable del hallazgo fue Jeremiah Fowler, que en una revisión de rutina encontró este error de seguridad en la base del Centro Gladney para la Adopción. El experto reveló que el fichero expuesto no estaba debidamente protegido con una contraseña, tampoco con cifrado.
¿Qué datos quedaron al descubierto, al alcance de cualquier usuario?
- Nombres completos, direcciones postales y de email, y números telefónicos.
- Información confidencial, relacionada con fichas médicas y de salud mental.
- Notas sobre casos de adopción, incluyendo documentos judiciales y archivos de servicios de protección infantil.
- Detalles sobre las familias biológicas de los niños y niñas, y de las familias adoptivas.
- Información sobre los empleados de la organización texana.
En total, la base tenía 1.115.061 registros y un peso de 2.49GB.
Según informó el sitio Website Planet, el investigador se contactó con el centro de adopciones para informar la brecha y la institución desconectó la base de datos. Sin embargo, la gravedad radica en que estuvo disponible sin ningún tipo protección previamente.
Leé también: Consentimiento, cookies y control ciudadano: así es el nuevo proyecto de Ley de Protección de Datos Personales
“Envié inmediatamente un aviso al responsable a Gladney, y al día siguiente se restringió el acceso público a la base de datos y dejó de estar disponible”, comentó al respecto Fowler. “Aunque los registros parecían pertenecer a Gladney, se desconoce si la base de datos era propiedad de ellos o si era gestionada por un contratista externo”, agregó.
¿Por qué estos descuidos son riesgosos?
- Cualquier tipo de dato personal es valioso para los ciberdelincuentes, porque con esa información pueden canalizar diversos ataques, como suplantación de identidad y chantajes, además de elaborar bases voluminosas que luego se venden en foros de piratería.
- Si esos datos están disponibles sin protecciones, el trabajo de piratas informáticos resulta mucho más sencillo que atacar plataformas e infraestructuras, con diferentes técnicas de intrusión.
- La peligrosidad de los datos expuestos y de las filtraciones aumenta cuando las bases contienen información confidencial, completa e individualizada.
- El caso que tiene como protagonista al centro de adopción en Estados Unidos es especialmente problemático, porque incluye registros con información de niños.
