Filtración de datos personales en Uruguay sale a la luz

Entre 2016 y 2019, millones de imagenes y documentos fueron expuestos públicamente a mano de las dos empresas mas grandes de mensajeria en Uruguay.

Publicado: 21 Mayo 2020
Última actualización: 25 Mayo 2020

Nota: ningún "hackeo" se realizó para descubrir u obtener esta información, estos datos estaban públicamente visibles y los obtenía cualquier computadora de cualquier individuo sin la necesidad de penetrar el sistema y sin necesidad de usar formatos de ingreso. Los detalles completos fueron mandados a la prensa para su verificación y están disponibles en formato PDF (menos las muestras y/o evidencias de datos privados) en enlaces que podrán encontrar en este sitio.

En Uruguay, existen pocas opciones de servicios de mensajería públicos o privados. Y en el caso del envío o recibo de mensajería estos servicios se resumen en dos, UES y DAC (Grupo Agencia). Correo Uruguay, el conocido servicio de mensajería público, emplea los servicios de UES con el mismo fin. La mayoría de los bancos e instituciones financieras hacen envíos de certificaciones, documentos y tarjetas de crédito a través de UES. Con lo expuesto con anterioridad, esto nos lleva

a pensar, que en caso de haber enviado o recibido algo, es muy probable que se haya cruzado con cualquiera de estas dos compañías.

Los clientes de UES suelen ser compañías de comercio en línea que utilizan su servicio de envío de mensajería como Mercado Libre. Su servicio "en mano" (entregas personales) es muy utilizado en Uruguay por empresas, bancos y compañías financieras como lo son Banco Itaú, Banco Santander, Pronto!, Scotiabank, BBVA y muchos más. Todos estos clientes toman muy en serio la seguridad de los datos personales de sus empresas, pero fallaron en considerar la seguridad que UES estaba proveyéndoles. Los bancos posee un sistema de seguridad muy fuerte a nivel global, pero UES tenía un grupo de principiantes negligentes a cargo de la construcción de su página y del manejo de sus servicios en línea.

DAC en cambio tiene más clientes individuales y parece hacer un mejor trabajo con respecto a su seguridad, aunque también tiene un hueco en su sistema de protección de datos personales muy evidente al que se podía acceder a través de su página principal y su servicio de rastreo de paquetería.

Aquí resumimos la filtración de más de 2 millones de documentos que contenían la información privada y personal de ciudadanos uruguayos y extranjeros. La filtración incluye una mezcla de los siguientes datos personales: nombres, direcciones, nombres / aclaraciones en alta resolución, firmas en alta resolución, numeros de cédulas de identidad (tanto impresas como escritas) y en ocasiones números telefónicos. Algunos de los documentos incluían procesos legales detallados hacia personas y compañías en Uruguay. Esta filtración que expuso la información de los documentos mencionados data de inicios de 2017 y hasta mitad de 2019 cuando el documento fue descubierto y cerrado. Además de esto más de 800.000 rastreo de paquetes desde comprass de los comercios en línea junto con la información privada del comprador, a quien se le mandaba el paquete y quien lo recibía, se encontraba abiertamente disponible para su hurto en la página web.

Por favor noten, que para Agosto de 2019, UES había cancelado todos los sistemas afectados y habían tomado acciones inmediatas para reparar o reformular sus sistemas. El Banco Itaú ayudó asegurándose de que los sistemas de la UES estuviesen corregidos para que no afectaran a sus clientes. Por otro lado, DAC hasta la fecha no ha realizado ningún arreglo o correción a su sistema y ha ignorado cualquier intento de comunicación, siendo estos email, teléfono, formulario electrónico y LinkedIn. El gobierno Uruguayo también fue propiamente informado, incluyendo los poderes a cargo de la protección de datos personales como AGESIC, URCDP y CERTuy. Aunque el gobierno conocía sobre las acciones de DAC, no lograron hacer que resolviera el hueco y filtración en su sistema.

Desde que se les notificó, ninguna de las partes involucradas aparenta haber hecho esta información pública y parece poco probable, casi imposible, notificar a cada una de las partes afectadas de manera privada, esto debido a que muchos de los afectados en los documentos no están registrados en ninguna base de datos que permita conocer por completo su perfil. Por lo tanto, ya que esta filtración podría afectar a la mayor parte de la población de Uruguay, es correcto hacer una declaración pública considerando que la oportunidad expiró para las partes involucradas.

Los Informes Originales

Los informes originales (redactado) están disponibles en inglés y exponen detalles técnicos.

• Detalles de la filtración de UES (PDF): UES data leak - 2019-07-23.007 - redacted.pdf
• Detalles de la filtración de DAC (PDF): DAC data leak - 2019-07-24.001 - redacted.pdf

Contenido completo en fuente original FUGA.uy

Suscríbete a nuestro Boletín