En el mundo de la ciberseguridad surgió la noticia esta semana de que se filtraron datos de más de 1.000 millones de personas de una base de datos de la policía de Shanghái. Las repercusiones podrían tener gran alcance, aunque el aspecto más sorprendente de este caso es que probablemente no haya sido consecuencia de un hackeo, sino de errores básicos de disciplina digital.
El pago solicitado por la base de datos, que incluye varios miles de millones de registros de casos, es de apenas 10 bitcoins. Esto indica que el vendedor es una persona que ha encontrado los datos de casualidad. Un oportunista, y no un hacker profesional motivado por el dinero. La muestra de los datos publicada en un foro en línea, y vista por Bloomberg Opinión, revelan registros de personas de toda China con nombres, números de identificación y de celular, así como la fuente original de los datos y una referencia sobre la primera vez que se introdujo la información en el registro.
Algo escalofriante: la base de datos contiene campos que hacen referencia a entregas urgentes y detalles de pedidos de comida. Esto podría implicar que esta información fue recopilada por la policía a partir de numerosas fuentes en todo el país, además de lo que suelen juntar de forma directa. Por supuesto, también puede haber otras explicaciones.
Numerosos comentarios en el mismo foro indican que los usuarios han verificado la autenticidad de los datos y los han encontrado reales. No obstante, Bloomberg Opinion no ha podido hacerlo de forma independiente. Las autoridades de Shanghái no han dado una respuesta pública a la supuesta filtración.
Los agentes de la policía de la ciudad y de la Administración del Ciberespacio de China, el organismo de supervisión de Internet del país, no han respondido a las solicitudes de comentarios de Bloomberg News.
Cuando los hackers tratan de penetrar en un sistema informático utilizando malware (software malicioso) y ataques de phishing (una forma de fraude en la que un atacante se hace pasar por una entidad o persona de buena reputación en correos electrónicos u otras formas de comunicación), esta violación resulta ser mucho más directa.
Según la información publicada en los foros públicos y redes sociales, así como las discusiones entre personas familiarizadas con el caso pero no involucradas directamente, al parecer un desarrollador de software podría haber dejado una clave de acceso visible en un repositorio de código en línea o en una publicación en un blog. Estp funciona de manera diferente pero es similar a una contraseña.
Con esa la clave, junto con un conocimiento básico de como está configurada (no requiere conocimientos internos) probablemente se extrajo la información accediendo a un servidor mal configurado. La comunidad de ciberseguridad coincide en que no se trata de un hackeo, sino de un ejemplo de descuido y malas prácticas de seguridad, aunque el método exacto para obtener los datos no ha sido confirmado.
Según la información disponible en línea, la policía de Shanghái manejaba la base de datos, pero esta podría estar alojada en un servidor operado por Alicloud, de Alibaba Holding Group Ltd. (BABA). Nadie sugiere que Alicloud sea responsable de ninguna vulneración de la seguridad. Alibaba no respondió a los correos electrónicos ni a las llamadas telefónicas en busca de comentarios. Tampoco está claro que la persona, o personas, que descargaron los datos sea la misma que la que los puso en venta.
Es muy común que existan filtraciones de datos. Van desde ejemplos de ataques específicos, como el hackeo ruso de Solarwinds (SWI) en 2020, hasta los provocados por una débil seguridad, como el caso de First American Financial Corp. (FAF) en 2019. Pero este incidente Shanghái puede terminar siendo una de las mayores filtraciones de la historia, especialmente por la amplitud de la información que contiene.
Aunque no hay pruebas de que se incluyan datos financieros, como números de tarjeta de crédito, se espera que los investigadores analicen los datos para crear una imagen de la sociedad china actual y el funcionamiento del gobierno.
Anteriormente, una filtración de una base de datos de la policía china sirvió para investigar cómo las autoridades vigilan y controlan a la población uigur en el país. Posteriormente, el Instituto Australiano de Política Estratégica y The Intercept publicaron dicho trabajo. Pekín ha negado reiteradamente las acusaciones de que reprime a los uigures.
A medida que se conozca mejor esta filtración, incluyendo el significado de todos los campos y su conexión a diversas instituciones en toda China, posiblemente se comprenderá con más detalle el marco de recopilación de datos del país y cómo se utiliza la información para vigilar a su población. Pero no hay que olvidar que ahora hay 1.000 millones de personas que son víctimas potenciales de otra violación digital causada por malas prácticas de seguridad.
Esta nota no refleja necesariamente la opinión del consejo editorial o de Bloomberg LP y sus propietarios.
Este artículo fue traducido por Miriam Salazar
