Funcionarios ecuatorianos arrestaron al gerente general de la compañía consultora de TI, Novaestrat, después de que los detalles personales de casi toda la población de la República del Ecuador quedaran expuestos en línea en lo que se deduce como la violación de datos más importante en la historia del país.
Los registros personales de más de 20 millones de adultos y niños, ya sean vivos o muertos, fueron expuestos públicamente en un servidor Elasticsearch no seguro por la compañía de seguridad vpnMentor, que hizo el descubrimiento durante su proyecto de mapeo a gran escala.
Para un país con una población de más de 16 millones de personas, la violación expuso los detalles de casi todos los ciudadanos ecuatorianos, incluyendo al presidente Lenin Moreno y el CEO de WikiLeaks, Julian Assange, a quien se le brindó asilo político en el país en 2012.
El servidor Elasticsearch no seguro, con sede en Miami y propiedad de la compañía ecuatoriana Novaestrat, contenía 18 GB de caché de datos que parecían provenir de una variedad de fuentes, incluyendo los registros gubernamentales, una asociación automotriz llamada Aeade y un banco nacional ecuatoriano llamado Biess.
Según los informes, el caché contenía todo tipo de información, desde nombres completos, género, fechas y lugares de nacimiento, números de teléfono y direcciones, hasta estados matrimoniales, números de identificación nacionales, información de empleo y detalles de educación.
El caché también contenía información financiera específica relacionada con las cuentas mantenidas en el Banco Nacional Ecuatoriano Biess, incluidos los estados de cuenta bancaria de las personas, saldos actuales y tipo de crédito, junto con información detallada sobre los miembros de la familia de las personas.
vpnMentor notificó al Centro Ecuatoriano de Respuesta a Incidentes de Computadoras (EcuCERT) de la violación, quien inmediatamente informó a Novaestrar, la firma de consultoría de datos en línea en la ciudad de Esmeraldas, propietaria del servidor no seguro, después de que fue desconectado el 11 de septiembre.
Las autoridades investigan a la empresa presuntamente responsable de la fuga de datos
Como parte de la investigación, funcionarios ecuatorianos también dijeron en un comunicado el martes que habían arrestado al gerente de Novaestrat, identificado como William Roberto G y confiscaron equipos electrónicos, computadoras, dispositivos de almacenamiento y documentación durante una redada en su casa.
Roberto fue llevado a la capital ecuatoriana, Quito, por las autoridades para ser interrogado y podría enfrentar cargos criminales.
Además, luego de las preocupaciones de privacidad que rodearon el incidente, el Ministro de Telecomunicaciones del país dijo que se tomarían acciones legales contra las instituciones afectadas para sancionar a las empresas privadas responsables de violar la privacidad y publicitar información personal sin autorización.
El ministro de Telecomunicaciones también informó que planea aprobar una nueva ley de privacidad de datos en el país, en la que han estado trabajando durante los últimos ocho meses, para proteger los datos personales de sus ciudadanos.
Esta no es la primera vez que Ecuador sufre una violación importante de seguridad de datos. En 2016, un grupo de hackers logró robar 12 millones de dólares de un banco ecuatoriano, el Banco del Austro (BDA), al violar su sistema de pago Swift.
Sin embargo, la última violación de Ecuador recordó la mayor violación de datos de la historia de Bulgaria, que tuvo lugar en julio de 2019 y expuso información personal y financiera de 5 millones de ciudadanos búlgaros adultos de su población total de 7 millones de personas, que es más del 70% de la población del país.