Argentina completa vacunación con una dosis a toda l…
¿Cómo acceder a cupos para universidades e instituto…
Noches y madrugadas más frías a partir de este 22 de…
Universidades iberoamericanas fomentarán la educació…
Podcast: Entérese con EL COMERCIO, 22 de junio del 2021
Los casos de covid-19 en escuelas incitan a los padr…
El Vaticano pide al Gobierno que cambie el proyecto …
Agentes capturan a seis personas por el caso Isspol

¿Qué datos de ecuatorianos quedaron expuestos por la brecha de seguridad?

Los datos de más de 20 millones de ecuatorianos, algunos ya fallecidos, quedaron expuestos en la web por una brecha de seguridad. Foto: Pexels.

Los datos de más de 20 millones de ecuatorianos, algunos ya fallecidos, quedaron expuestos en la web por una brecha de seguridad. Foto: Pexels.

Estos son los datos personales de ecuatorianos expuestos

La información de millones de ecuatorianos acopiada en bases de datos del Registro Civil, Biess, trabajo y vehículos ha quedado expuesta, luego de su acceso a través de la empresa ecuatoriana Novaestrat. Para ejemplificar el alcance de la filtración, hemos creado un personaje ficticio: Juan Martín Pérez Sánchez. Mueva el cursor sobre los puntos para ver los datos.

Fuente: vpnMentor / EL COMERCIO DATA – Elaboración Carlos Espinosa

Los nombres completos, números de cédula y correos electrónicos de más de 20,8 millones de ecuatorianos, algunos ya fallecidos, no son los únicos que quedaron expuestos en la web por la brecha de seguridad descubierta por la firma vpnMentor. Los investigadores principales de esta filtración, Noam Rotem y Ran Locar, dieron detalles al portal ZDNet sobre lo que se encontró en las bases.

La información es el acopio de bases de datos de instituciones públicas y privadas de Ecuador y se encontraban en un servidor no asegurado localizado en Miami (EE.UU.) perteneciente a la empresa Novaestrart– cuyos directivos rindieron versión en la Fiscalía por la filtración-. Novaestrat es una firma consultora que provee servicios de marketing estratégico, análisis de datos y desarrollo de software. 

Según ZDNet, que cuenta con capturas de los datos que fueron expuestos por la brecha de seguridad, la información se encontraba en 18 GB, distribuida en 10 índices, cuyos pesos varían entre los 44,9 kilobytes (kb) y los 4,9 gigabytes. La base más pesada está descrita como “index-iess” (4,9 gigabytes), la segunda como “index-rcivil” (4,5 gigabytes) y  la tercera como “index-familia” (4,3 gigabytes). 

Los datos de más de 20 millones de ecuatorianos, algunos ya fallecidos, quedaron expuestos en la web por una brecha de seguridad. Foto: Pexels.

Otros índices están identificados como: “index-nombre” (1,9 gigabytes), “index-empresa-matriz” (1,1 gigabytes), “index-auto” (954,6 megabytes), “index-buro” (798,9 megabytes), “index-empresa” (228,2 megabytes), “index-biess” (87,2 megabytes) y finalmente “index-aeade” (468,2 kilobytes). El listado también incluye una carpeta denominada “_river” que pesa 44,9 kilobytes. 

Con base en los nombres de los índices, ZDNet concluye que los datos tienen dos orígenes. Hay una parte que se obtuvo de fuentes gubernamentales y otra que se obtuvo de entidades privadas. Sin embargo, la mayor parte proviene de las bases de datos del Instituto Ecuatoriano de Seguridad Social (IESS) y del Registro Civil del Ecuador, pues las carpetas son las de mayor peso.

Estas bases, según pudo verificar ZDNet que se contactó con algunos de los usuarios cuyos datos aparecían ahí, están actualizadas y tienen información de este 2019. 

Más de 50 datos personales de ecuatorianos, expuestos

ZDNet difundió cuatro capturas con información de los datos que quedaron expuestos. En la primera de ellas, se muestra el índice del Registro Civil. A manera de ejemplo, aparece el presidente Lenín Moreno: se despliega información como el número de cédula, nombres y apellidos completos, código de sexo, sexo, lugar de inscripción del nacimiento, fecha de nacimiento, lugar de nacimiento, código de nacionalidad, código de estado civil, estado civil, fecha del matrimonio, código del domicilio, calle del domicilio, número de casa, fecha de inscripción de defunción, lugar de inscripción de defunción, fecha de defunción, fallecido, código de instrucción y código de profesión

La base incluye datos de 6,7 millones de niños, algunos nacidos en este 2019, según ZDNet el número de rubros de datos de menores de edad, a excepción de los de los últimos años, concuerdan con los reportes públicos de la tasa de natalidad del país. 

El año 2009 es el que tiene el mayor número de datos de menores de edad (546 147), pero en los años 2016, 2017, 2018 y 2019 solo hay 222, 182, 231 y 187 entradas en la base respectivamente. Sin embargo, entre el 2015 y el 2016 ya se registra una caída en los datos de menores de edad en la base de 145 941 a 222. 

Año
Número de niños

2002
511,235

2003
498,561

2004
492,139

2005
491,148

2006
521,197

2007
528,335

2008
536,624

2009
546,147

2010
539,124

2011
542,050

2012
501,530

2013
467,604

2014
456,687

2015
145,941

2016
222

2017
182

2018
231

2019
187

Otra información importante que estaba expuesta por la brecha pertenece al Banco del Instituto Ecuatoriano de Seguridad Social (Biess). Entre los datos hallados en esta base constan: número de cédula, operación, nombres, estado, monto financiado, saldo, tipo de crédito, plazo, provincia, cantón, parroquia, teléfono, celular y correo electrónico. 

Es decir, los datos reflejados muestran información de los créditos que las personas han obtenido con el Biess, pues en un ejemplo difundido en cambio por vpnMentor se puede observar el perfil de un usuario– cuya identidad ha sido protegida- pero que obtuvo un financiamiento de USD 28 026,63 para una vivienda terminada individual. En total, dice ZDNet se hallaron los récords financieros de siete millones de personas. 

La carpeta “index-familia” fue una de las que más despertó la preocupación de los investigadores de vpnMentor, pues expone nombres completos de los padres y parejas de los individuos cuyos datos se vieron vulnerados. El listado reflejan: cédula, nombre (del individuo), cédula de su madre, nombre de la madre, cédúla del padre, nombre del padre, cédula del cónyugue y nombre del cónyugue. 

Finalmente, de los ejemplos mostrados por vpnMentor y por ZDNet, está la carpeta “index-auto” que, según los informes, contendría datos de vehículos, pese a que hay otra carpeta de menor tamaño que se denomina “index-aeade”, cuya información no ha trascendido.

La base “index-auto” contiene información de los propietarios de los vehículos y sus respectivos automóviles. Los carros están identificados por sus modelos, número de chasis, número de motor, etc. 

Entre los datos que figuran en esta base están: cédula, cédula o RUC del propietario, marca del vehículo, modelo del vehículo, clase, número del chasis del vehículo, número del motor del vehículo, el número de CAMV asignado al auto, su cilindraje, tipo de combustible, país de origen, capacidad de pasajeros, carga útil, código del cantón en el que está el carro, avalúo, valor de venta, año del carro, fecha de compra y fecha de última matriculación

La captura de ZDNet deja ver, nuevamente reservando la identidad del propietario, los datos de un vehículo Hyundai Santa Fe de siete pasajeros, cinco puertas, con aire acondicionado y tracción automática. Su cilindraje es de 3 300, su país de origen es Corea del Sur. El automóvil, del año 2015, está avaluado en USD 47 994 y su valor de venta es de USD 79 990. Su última matriculación fue en junio del 2016 y fue adquirido en septiembre del 2015.

Aunque sin una captura de pantalla que refleje cómo se visualizan los datos, vpnMentor aseguró que también pudo acceder a información “detallada” sobre el empleo de las personas.

La firma no especifica en qué carpeta estaban incluidos estos datos. Sin embargo reveló que encontró el nombre del empleador, la dirección de la oficina, el RUC de la empresa, título del trabajo, información del salario, fecha de inicio del trabajo y fecha de finalización del contrato.

Adicionalmente se pudo acceder a información de empresas entre la que se encuentra el RUC de la firma, su dirección, el número telefónico de contacto, el nombre del representante legal de cada compañía y la información de contacto del representante legal de la misma.