Seguridad

64 petabytes de datos confidenciales, accesibles en abierto en la red

Nuevas sanciones europeas de protección de datos para el envío masivo de emails
Escrito por Marcos Merino

Investigadores en seguridad han descubierto 1.500 millones de ficheros sobre empresas y clientes expuestos online. Pero, en esta ocasión, ningún hacker los ha robado: son los propios usuarios quienes los exponen por una mala configuración de sus equipos, sitios webs, o redes corporativas.

1.500 millones de archivos con información confidencial sobre empresas y sus clientes: 64 petabytes historiales médicos, información bancaria (sobre todo relacionada con transacciones en TPV) y fiscal (declaraciones de impuestos), nóminas, contenidos con propiedad intelectual (como borradores de patentes y código fuente de aplicaciones propietarias), etc.

Toda esa información (4000 veces la cantidad de información filtrada con el PanamaLeaks) es lo que han descubierto en lo que llevamos de año los investigadores de ciberseguridad de la compañía Digital Shadows, repartida entre numerosos repositorios abiertos localizados en sitios web mal configurados, en redes SMB, en Amazon S3, servidores de FTP, unidades NAS, etc.

Y si bien las instancias mal configuradas de Amazon S3 se han visto implicadas en algunas filtraciones de datos en los últimos tiempos, el informe hecho público por Digital Shadows desvela que sólo proceden de este servicio en la nube un 7% de los datos expuestos, siendo otras tecnologías más antiguas pero aún ampliamente populares las que en mayor medida han contribuido a la filtración de datos: redes SMB (33 %), rsync (28 %) y FTP (26 %).

Fuga de datos, un serio problema de seguridad para tu empresa

En lo que respecta a la fuente de las filtraciones de datos privados, Digital Shadows identificó como principales fuentes de las mismas a “terceros y contratistas”, así como a dispositivos de backups cuyos usuarios configuraron incorrectamente (o que venían incorrectamente configurados por defecto), de tal modo que los datos de respaldo terminaron online y en abierto. A destacar que entre los datos filtrados hay también evaluaciones de seguridad y pruebas de penetración (no parece que resultaran muy útiles al final).

Estamos, en definitiva, ante la enésima (aunque cuantitativamente destacable) demostración de que la seguridad de la información sigue siendo una asignatura pendiente para el grueso de los usuarios de sistemas tecnológicos. Y todo esto, a tan sólo un mes de que entre en vigor el nuevo Reglamento General de Protección Datos (GDPR) europeo.

Vía | The Register

Sobre el autor de este artículo

Marcos Merino

Diseñador web y docente de educación no formal, imparte cursos de informática en el medio rural porque las brechas están para cerrarlas. Desde que le nombraron director de la revista de su colegio, no ha dejado de escribir.