Una cuenta especializada en ciberamenazas divulgó una aparente filtración de datos por parte de un usuario que asegura tener “millones” de registros de personas vacunadas en Ecuador, incluyendo información sensible como el tipo de vacuna con la cual fueron inmunizadas, correos electrónicos, teléfonos celulares, entre otros.
El Ministerio de Salud negó que sus sistemas hayan sido vulnerados, pero esa apreciación está incompleta. Accedimos a la muestra de la base de datos y hallamos que parte de la información allí desplegada se relaciona a ciudadanos residentes en Loja.
Por Valentín Díaz
La información fue recogida por la cuenta de Twitter @FalconFeedsio, asociada a Technisanct, una firma india dedicada a la evaluación de riesgos digitales.
“Kelvinsecurity ha puesto a la venta la base de datos Covid-19 de #Ecuador en un foro de hackers. En los datos se incluye información como nombres, números de identificación, fechas de nacimiento, información de contacto, detalles de vacunación, etc”, asegura la publicación.
Kelvinsecurity has added the Covid-19 database of #Ecuador in a hacker’s forum for sale. Information like names, identification numbers, dates of birth, contact information, vaccination details, etc are included in claimed data.#Databreach #cyberrisk pic.twitter.com/DwTCNws0GJ
— FalconFeedsio (@FalconFeedsio) March 6, 2023
La organización ecuatoriana Usuarios Digitales replicó dicha información a través de un hilo en su cuenta en Twitter. Ante la difusión del hecho, el Ministerio de Salud aseguró en un comunicado que “no existe vulneración de sus sistemas informáticos y, por tanto, la información que se aloja en la infraestructura tecnológica se encuentra resguardada conforme la normativa gubernamental, internacional y protocolos informáticos propios de la industria.
El Ministerio exhortó “a la ciudadanía a no dejarse engañar con la entrega de información”, aunque no quedó claro a qué se refirió con esta frase.
Pero hay algo que esta cartera de estado no está diciendo al público. Y es que la muestra de la base de datos ofrecida en el mercado negro se corresponde con información personal que puede ser contrastada mediante fuentes abiertas.
El origen de la filtración
Un usuario identificado como kelvinsecurity publicó la información en un foro hacker, donde añade un contacto en Telegram, metadatos sobre la información contenida y una breve descripción: “Estamos vendiendo el acceso a la información de los pacientes vacunados entre 2021 y 2023, son millones de registros, pero debido a un desgaste en la descarga de toda la información, se nos han caído unos cuantos miles. En resumen, podríamos hablar de toda la población ecuatoriana vacunada”.
Como es usual en el mercado negro de venta y reventa de datos personales, el usuario incluye una muestra de los archivos contenidos en la base de datos que asegura poseer.
La información citada en esta muestra incluye los nombres completos de las personas, la provincia y la zonal donde fueron vacunadas, sus números de cédula, de teléfono, sus direcciones de correo electrónico, si son personas con condiciones de salud como enfermedades catastróficas, el tipo de vacuna que recibieron, entre otros datos personales sensibles, como se muestra en esta captura de pantalla en la cual hemos difuminado los datos identificables de las personas:
Verificación de los datos
La muestra contiene únicamente unas decenas de entradas, pero es una cantidad suficiente para establecer que muchos de los datos filtrados se corresponden con personas reales.
Verificar esta información no requiere de habilidades especiales ni de conocimientos en seguridad informática. Hace falta únicamente una serie de búsquedas en Google con los correos electrónicos de las personas mencionadas para cotejar que los datos presentados están asociados a personas que viven en Loja, como asegura la tabla en formato .csv citada. Los nombres de las personas también coinciden con información disponible en internet.
Una búsqueda del correo electrónico que aparece en una de las entradas conduce a la página de Facebook de una deportista profesional en cuyas publicaciones hace referencias a Loja. El correo electrónico se encuentra listado en la información básica de la página.
Este patrón se repite. Un usuario deja su correo electrónico en el comentario de una publicación sobre un curso profesional, para pedir información sobre dicha capacitación. Su nombre y correo electrónico coinciden con los listados en la filtración.
De la misma manera, pudimos hallar por lo menos otros cinco usuarios en Facebook, en su mayoría personas que ofertan emprendimientos o servicios profesionales y que, por lo tanto, hicieron pública su dirección de correo electrónico. En todos los casos la información del perfil de las personas o sus publicaciones indican que están relacionadas con Loja, como muestra la información contenida en la muestra.
Algunos de los correos coinciden con información contenida en portales oficiales del Estado. Es el caso de un formulario de oferta de construcción de canchas disponible en un documento del portal de Compras Públicas. La oferta está justamente dirigida al Gobierno Autónomo Descentralizado (GAD) de Loja.
En la muestra también hay un correo electrónico oficial de una entidad estatal, con dominio @eerssa.gob.ec, correspondiente a la Empresa Eléctrica Regional del Sur S.A., en Loja. El correo electrónico de esta persona aparece como perteneciente al “responsable de la unidad poseedora de la información” en el portal de transparencia de dicha entidad. El documento es un listado de auditorías al ejercicio presupuestal.
La explicación oficial es insuficiente
El comunicado que emitió el Ministerio de Salud no necesariamente es engañoso. Una filtración de datos no significa que existió tajantemente un acceso no consentido a los sistemas informáticos de la cartera de estado.
Sin embargo, las explicaciones no son suficientes y el panorama queda incompleto con la versión oficial, tomando en cuenta que varios de los datos de la muestra a la cual accedimos coinciden con información personal de estas personas disponible en línea.
Dicha base de datos pudo haber sido filtrada por personal del Ministerio de Salud o por otras personas con acceso a esta. En junio de 2021, Usuarios Digitales alertó que, como parte de la campaña para incentivar la vacunación, varias cadenas de supermercados accedieron a datos de vacunación de ciudadanos ecuatorianos.
El boletín se presta también para malas interpretaciones, como la difundida por el medio estatal El Telégrafo, que tituló: “No hay filtración de base de datos del Ministerio de Salud”. El titular muestra, una vez más, la necesidad de verificar la información proveniente de organismos estatales y una premisa básica del periodismo: que la información venga de una fuente oficial no necesariamente quiere decir que es una verdad indiscutible.
El equipo de La Barra Espaciadora solicitó entrevista con algún funcionario del Minsiterio de Salud Pública con el prpósito de aclarar la versión oficial, pero pero el equipo de Comunicación de esa entidad reiteró que «el comunicado es la versión oficial».
Una raya más al tigre
Las filtraciones de datos personales no son una novedad para los ecuatorianos. En 2021 ya publicamos una serie de artículos sobre una filtración de los datos personales de clientes del Banco Pichincha, que en un inicio fue negada por el banco y, posteriormente, admitida.
Tampoco es nuevo que se filtren los datos de vacunación de los ecuatorianos. En julio de ese mismo año, el analista Carlos Oporto señaló que un portal de datos abiertos sobre vacunación recientemente inaugurado incluía una base de datos no anonimizada. Estos datos fueron incluidos por un error del Ministerio de Salud y estuvieron publicados durante varias horas.
De ser cierto que el usuario kelvinsecurity tuvo acceso a los datos personales de “toda la población ecuatoriana vacunada”, tampoco sería la primera vez que se filtren los datos de casi la totalidad de la población ecuatoriana.
En 2019, la firma vpnMentor reveló que los datos de 17 millones de ecuatorianos habían sido expuestos en una base de datos que se encontraba pública en internet. En la trama de tráfico de datos personales estuvo involucrada la empresa ecuatoriana Novaestrat.
El mercado negro de datos personales es un ecosistema complejo que, por lo general, incluye el involucramiento de empresas, revendedores, intermediarios, entre otros personajes y entidades que forman parte, de manera más o menos clandestina, de este lucrativo negocio.