Acceso no autorizado a la base de datos de la ONU
Una base de datos que contiene información sensible, a veces personal, del Fondo de las Naciones Unidas para poner fin a la violencia contra las mujeres fue accesible públicamente en internet, revelando más de 115,000 archivos relacionados con organizaciones que colaboran o reciben financiamiento de UN Women. Los documentos varían desde información sobre personal y contratos hasta cartas e incluso auditorías financieras detalladas sobre organizaciones que trabajan con comunidades vulnerables en todo el mundo, incluida aquellas bajo regímenes represivos.
Descubrimiento de la vulnerabilidad
El investigador de seguridad Jeremiah Fowler descubrió la base de datos, que no estaba protegida por contraseña ni tenía controles de acceso, y divulgó el hallazgo a la ONU, que aseguró la base de datos. Tales incidentes no son infrecuentes, y muchos investigadores encuentran y divulgan regularmente ejemplos de exposiciones para ayudar a las organizaciones a corregir errores en la gestión de datos. Sin embargo, Fowler enfatiza que esta ubicuidad es precisamente la razón por la cual es importante seguir creando conciencia sobre la amenaza de tales configuraciones erróneas.
Importancia de la ciberseguridad
La base de datos de UN Women es un ejemplo primordial de un pequeño error que podría generar riesgos adicionales para mujeres, niños y personas LGBTQ que viven en situaciones hostiles en todo el mundo. “Están realizando un gran trabajo y ayudando a personas reales en el terreno, pero el aspecto de ciberseguridad sigue siendo crítico”, dice Fowler a WIRED. “He encontrado muchos datos antes, incluidos de todo tipo de agencias gubernamentales, pero estas organizaciones están ayudando a personas que están en riesgo solo por ser quienes son, donde están.”
Respuesta de UN Women y lecciones aprendidas
Un portavoz de UN Women le dijo a WIRED en un comunicado que la organización valora la colaboración de los investigadores de ciberseguridad y combina cualquier hallazgo externo con su propia telemetría y monitoreo. “De acuerdo con nuestro procedimiento de respuesta a incidentes, se implementaron medidas de contención rápidamente y se están tomando acciones de investigación”, comentó el portavoz sobre la base de datos que descubrió Fowler. “Estamos en el proceso de evaluar cómo comunicarnos con las posibles personas afectadas para que estén informadas y alertas, así como incorporar las lecciones aprendidas para prevenir incidentes similares en el futuro.”
Consecuencias y riesgos de la exposición de datos
Los datos podrían exponer a las personas de múltiples maneras. A nivel organizativo, algunas de las auditorías financieras incluyen información sobre cuentas bancarias, pero más ampliamente, las divulgaciones proporcionan detalles granulares sobre de dónde obtiene cada organización su financiamiento y cómo se presupuestos. La información también incluye desgloses de costos operativos y detalles sobre empleados que podrían usarse para mapear las interconexiones entre grupos de la sociedad civil en un país o región. Tal información también es susceptible de abuso en estafas ya que la ONU es una organización tan confiable, y los datos expuestos proporcionarían detalles sobre operaciones internas y podrían servir como plantillas para actores maliciosos que buscan crear comunicaciones con apariencia legítima que pretendan provenir de la ONU.
Fuente y créditos: www.wired.com
Cats: Security
