Actualización: Mensajeros Urbanos, propietarios de las bases de datos filtradas, ha emitido un comunicado y se ha sentado con la talentosísima Linda Patiño de El Tiempo ha hablar sobre el incidente. Con base en esa información hacemos algunas aclaraciones que encuentran en rojo sobre el artículo original.
En el que puede constituirse como el mayor incidente de privacidad electrónica en el país, The Hack ha descubierto que la información de más de 2,4 millones de colombianos fue almacenada erróneamente en un servidor web sin ningún tipo de seguridad, permitiendo que los mismos estuviesen disponibles para cualquiera.
La información, almacenada en 2 ambientes en la nube de Amazon, incluye el nombre, apellidos, número de cédula de ciudadanía, correo electrónico y número de teléfono de personas naturales, al igual que los números de NIT, razón social y datos de contacto de cerca de 2,4 millones de clientes de la plataforma. No es la información de 2,4 millones de colombianos; son 2,4 millones de datos de un número no determinado (pero menor a 2,4 millones) de colombianos.
Pero no sólo eso. En uno de los ambientes, los analistas encontraron copias digitalizadas de millones de cédulas de ciudanía en las que se pueden ver todos los detalles de la misma, al igual que información de cuáles de los clientes utilizan el mecanismo de Daviplata para pagar por sus servicios de mensajería.
La investigación comenzó en Septiembre luego de que la compañía francesa OnlineProtek informara a The Hack sobre el descubrimiento de dichos ambientes.
Con este incidente, del cual mensajeros urbanos ya fue notificado, Colombia se une a la deshonrosa de lista de países latinoamericanos como Ecuador, Perú y Chile quienes han visto la información de sus votantes y ciudadanos filtrarse por errores de configuración de seguridad.
Lea también: Hackers: ¿malhechores o un factor importante?
¿Para qué robaron los datos de mensajeros urbanos?
Es importante aclarar que no ha habido un robo de los datos de mensajeros urbanos. Lo que hubo fue un error en una configuración de seguridad que permitió que la información fuera expuesta. No es claro, por ahora, si alguien tuvo acceso o no a esa información ni por cuanto tiempo. Lo que si es claro es que si los investigadores lo encontraron, la posibilidad de que actores malignos también lo hayan hecho es real. La compañía ha informado que las bases de datos de producción y la transaccional no están incluidas dentro de la información que estuvo expuesta. Que no se incluya información de transacciones financieras ni de pagos.
¿Qué le aconsejamos hacer?
Lo primero que puede hacer es recordar si usted ha sido cliente de mensajeros urbanos en el pasado. Si no, sus datos no deberían estar en la base de datos filtrada. Pero si ha sido cliente, es prácticamente imposible remover su información. Usted no puede cambiar su nombre ni su número de cédula.
Por tanto nuestra recomendación en este caso, es que cambie las preguntas de seguridad de su banco o de sus redes sociales para incluir información que no pueda ser inferida de los datos que hay en esta base de datos.